Brecha no aplicativo de fitness permite acesso a endereços residenciais

May 09, 2023

Apesar das tentativas de anonimizar os dados do usuário, o aplicativo de fitness Strava permite que qualquer pessoa encontre informações pessoais – incluindo endereços residenciais – sobre alguns usuários. A descoberta, detalhada em um novo estudo, levanta preocupações significativas com a privacidade.

“Os usuários do Strava esperam que suas informações pessoais sejam protegidas, e nosso trabalho mostra que nem sempre é esse o caso”, diz Anupam Das, autor sênior de um artigo sobre o trabalho e professor assistente de ciência da computação na North Carolina State University. “Isso pode ser particularmente problemático para usuários que estão preocupados com perseguidores ou têm outros motivos para desejar que seus dados de localização sejam mantidos fora do público”.

O Strava é um aplicativo móvel de rastreamento de condicionamento físico que permite aos usuários rastrear suas atividades de exercícios, mas também inclui recursos projetados para ajudar os usuários a se conectarem uns com os outros. Esses recursos podem ser usados ​​para organizar clubes em torno de interesses comuns, como caminhadas ou ciclismo. Por exemplo, o aplicativo inclui um recurso de "mapa de calor" que agrega dados do usuário. Embora todos os dados do usuário sejam anonimizados, o recurso de mapa de calor permite que os usuários vejam quantos outros usuários do Strava fazem caminhadas, corridas ou ciclismo em uma determinada área.

“O Strava enfatiza que o recurso de mapa de calor usa apenas dados agregados, o que deve impossibilitar a captura de informações privadas sobre qualquer usuário específico”, diz Das. "No entanto, encontramos uma brecha."

Especificamente, os pesquisadores descobriram que é possível para qualquer pessoa procurar todos os usuários do Strava em uma determinada área. Também é possível que os usuários observem os dados agregados em um mapa de calor e vejam onde cada uma das rotas dos usuários anônimos começa e termina.

“Em uma área densamente povoada, com muitas rotas e muitos usuários, há tantos dados que seria extremamente difícil rastrear qualquer pessoa específica”, diz Das. "No entanto, em áreas onde há poucos usuários e/ou poucas rotas, torna-se um processo simples de eliminação - especialmente se a pessoa que alguém está procurando for um usuário Strava altamente ativo. Mesmo os usuários que marcaram suas contas como privadas aparecem quando alguém procura uma lista de todos os usuários em um determinado município, marcar uma conta como privada não fornece necessariamente proteção adicional contra essa técnica de rastreamento."

"Entramos em contato com a Strava sobre isso, e a empresa disse que não compartilha dados de mapa de calor, a menos que vários usuários estejam ativos em uma determinada área", diz Kevin Childs, primeiro autor do artigo e ex-aluno da NC State. “No entanto, ainda conseguimos identificar os endereços residenciais de alguns usuários em determinadas áreas usando o mapa de calor e confirmamos essas identificações usando dados de registro de eleitores”.

No entanto, há algo que os usuários podem fazer para proteger sua privacidade.

"Os usuários podem acessar as configurações de sua conta Strava e optar por não contribuir com dados para o recurso 'uso de dados agregados', o que removeria completamente suas rotas do mapa de calor", diz Das.

O artigo, "Heat Marks the Spot: De-Anonymizing Users' Geographical Data on the Strava Heatmap", foi apresentado em 25 de maio no 7º Workshop sobre Tecnologia e Proteção do Consumidor (ConPro '23) em São Francisco, Califórnia. -autoria de Daniel Nolting, um estudante de graduação na NC State.

-marinheiro-

Nota aos editores:Segue o resumo do estudo.

"Heat marca o ponto: desanonimizando os dados geográficos dos usuários no Strava Heatmap"

Autores: Kevin Childs, Daniel Nolting e Anupam Das, North Carolina State University

Apresentado: 25 de maio, ConPro '23, San Francisco, Califórnia.

Abstrato: Aplicativos móveis de rastreamento de condicionamento físico, como o Strava, são comumente usados ​​para registrar atividades, acompanhar o progresso do condicionamento físico e formar uma comunidade com pessoas afins. Em um esforço para envolver ainda mais a comunidade, em 2018 o Strava implementou um recurso de mapa de calor optout que agrega anonimamente todas as atividades em um único mapa. Isso permite que os usuários encontrem pontos de acesso e trilhas ativas ao mesmo tempo em que abrem a plataforma para ataques de desanonimização, como inferir os endereços residenciais dos usuários. Ao rastrear o mapa de calor disponível publicamente e por meio da validação manual, demonstramos que o endereço residencial de usuários altamente ativos em áreas remotas pode ser identificado, violando as reivindicações de privacidade do Strava e representando uma ameaça à privacidade do usuário.