健身App界现“数据间谍”!Polar被爆泄露军事基地和情报人员位置
Bellingcat和荷兰新闻平台De comporter联合进行的一项调查显示,健身应用Polar泄露了在隐秘地点锻炼的人的家庭住址和生活,这些隐秘地点包括世界各地的情报机构、军事基地和机场、核武器储存点和大使馆等。
今年1月,Nathan Ruser发现,健身应用Strava在跟踪和发布个人锻炼时,如位于秘密军事前哨的士兵,泄露了世界各地的敏感地点。这些军事地点的发现成为了全球头条新闻,但可以嵌入Strava应用的Polar则泄露了更多信息。
这家以制造世界上第一台无线心率监测器而闻名的制造公司,利用其网站“Polar Flow”作为用户分享跑步信息的社交平台。与Garmin和Strava的类似服务相比,Polar以更易于访问的方式让每个用户发布了更多数据,其结果可能是灾难性的。
家庭住址的泄漏
通过在一张地图上显示一个人的所有活动,Polar不仅泄漏了个人在军事地点进行锻炼的心率、路线、日期、时间、持续时间和速度,还泄漏了个人在自己家产生的相同信息。通过网站跟踪所有这些信息是非常简单的:找到一个军事基地,选择一个在那里发布的锻炼来识别相关的个人简介,然后看看这个人还在哪里锻炼过。当人们离开或进入他们的家时,他们倾向于打开/关闭健身追踪器,但却无意中在地图上标出了他们的房子。用户经常在他们的个人资料中使用全名,并附上了个人资料图片——即使他们没有将自己的Facebook个人资料连接到Polar帐户上。
Polar并不是唯一这样做的应用,但它与其他流行健身平台(如Strava或Garmin)的不同之处在于,其他网站会要求你导航到特定的人,以查看他或她的活动记录,而且每次锻炼都有自己的小地图。此外,他们还限制可以查看的锻炼数量。Polar则将2014年以来,全球范围内进行的所有个人锻炼都显示在一张地图上,这让情况变得更加糟糕。
因此,你只需要导航到一个地址,选择一个在那里锻炼的个人档案,你就可以获得这个人的完整历史。
别有用心
只需轻点几下鼠标,就能发现一个已知拥有核武器的空军基地的高级官员清晨慢跑穿过该基地。在离基地不远的一所房子,他又在周日凌晨跑了许多次。他最喜欢的路线是穿过森林,但有时他会在更远的停车场开始和结束。个人档案中显示了他的全名。
通常隐藏在隐秘地点中的活动竟然以令人难以置信的细节暴露出来。在驻扎有武装无人机的美国空军基地,可以发现一名情报官员正在进行锻炼。同样,他的姓名和个人资料照片也是公开的。
我们可以通过Polar网站找到驻阿富汗的西方军事人员。通过社交媒体核对一名士兵或军官的姓名和个人资料照片,我们确认了他的身份。Polar展示了他在遍布中东的几个军事基地的跑步记录,以及在纽约州一所房子处数十次锻炼的开始和结束。Polar应用还告诉我们,2017年初,他去了美国西部,并在那里骑了一辆自行车。他还在泰国逗留期间记录了在一家酒店的锻炼情况。所有这些活动都附有时间戳、他的确切路线、他的心率和他燃烧的卡路里量。
我们可以通过中东、南亚和非洲的其他军事基地,找到西方军人,并通过社交网络,包括LinkedIn,交叉确认他们的全名。我们在Polar网站上找到的可从公共信息中识别的个人,以及我们能找到家庭住址的个人包括:
在已知或被高度怀疑拥有核武器的基地进行锻炼的军事人员;
在情报机构、大使馆、自己家庭和其他地点锻炼的个人;
在联邦调查局和国安局工作的人;
专门从事网络安全、信息技术、导弹防御、情报等敏感领域的军事人员;
服役于潜艇部队,并在潜艇基地锻炼的人;
核电厂管理和安全人员;
一家制造公司的CEO,他记录了在世界各地的锻炼情况;
巴格达和平区的美国人;
克里米亚的俄罗斯军人;
关塔那摩湾的军事人员;
驻扎在朝鲜边界附近的部队;
与伊斯兰国作战的飞行员。
这份清单并不详尽。我们在Polar网站上收集到了200多个敏感地点,以及近6500个单一用户的列表。这些用户总共做了超过65万次锻炼,标记了他们的工作、生活和度假地点。
安全影响显然是严重的。在一些国家,士兵们被禁止在街上穿着军服,以免遇到潜在的恐怖分子。现在任何有互联网接入和可以使用Polar网站的人都可以很容易地找到他人的地址和生活模式。按照目前的形式,在冲突地区不难找到士兵的部署时间、住所、照片和职能。不难想象极端分子或国家情报部门如何以危险的方式利用这些信息,尤其是那些有关多个核武器储存地点人员的数据。
Polar开放数据集带来的风险也对平民构成风险,因为怀有恶意的人可以使用Polar查看某个地区的用户何时离开家或离开多长时间,如果他们还随身携带了心率传感器,还可以查看他们何时出国。
开放的环境
注册帐户后,Polar要求你提供姓名、地点、身高、体重、出生日期、性别和每周锻炼量。虽然你可以填写虚假信息,但我们调查的大多数用户都提供了看似可靠的信息。除了能够将你的帐户连接到Facebook之外,Polar还提供了与其他五个应用(包括Strava)的集成,以自动共享所有活动。
即使打开隐私设置,仍有大量数据可以获得。以下是一些例子:
将隐私从“公开”更改为“关注者”,仍可让个人资料显示姓名、照片和他们在注册时写入的位置。如果用户想要,还需要关闭允许其他人自动成为“关注者”的选项。
更改活动的隐私,甚至是最严格的隐私,只会影响新的活动。旧活动将保持可见。
其他健身网站,比如Strava,提供了自动阻止你的家庭或工作地点被公布的选项。但Polar没有。
虽然可以删除单个活动,但许多帐户似乎记录了数百个活动,要想一一删除是非常繁琐的。
地图上有些活动是完全隐私的,与其他任何内容都没有关联。然而,一旦在同一家庭地址开始和结束的几项私人锻炼被找到,仍然有可能收集住在此处的人的信息。
连接到“私人”跑步的用户ID很容易检索,这意味着仍然可以将不同位置的锻炼连接到一个人。
隐私政策已于2017年8月更新,新账户的默认设置确实被设置为最隐私的选项,这意味着用户必须选择加入共享。在回应我们的研究时,Polar表示,它已经意识到所披露资料的敏感性,并决定暂时中止“探索”功能。Polar现在也在研究解决这些问题的其他方法,比如增加一次性删除运动历史的功能。
缺点
与大多数开源软件一样,Polar的平台也有其局限性。Polar数据依赖于GPS,而GPS可能不准确,也可能被欺骗。此外,用户可以(并且可能应该)在离他们家一定距离的地方打开/关闭他们的传感器。然而,在多次锻炼后,起点和终点通常会集中到一个特定的住所,所以这一事实基本上否定了这一点。
这些数据往往足够准确,可以告诉用户何时在街上,或何时在某一特定房屋中。虽然在处理密集的城市和公寓大楼时会变得更加困难,不过大多数健身跟踪器似乎可以相当准确地显示海拔信息。比如说,我们跟踪了一个在敏感地点工作的人,记录显示他回到了一个公寓大楼。这个人经常在大楼前的地面上开始跑步,但也偶尔会在更高的高度开始锻炼。这两个高度之间的差异,再加上坐标,可以与公寓楼内的精确楼层相匹配。
事情的核心
在网上找到士兵的姓名甚至地址本身并不新鲜。人们在不知不觉中留在网络中的数据量,长期以来一直引起公众和政府的关注。单独的社交媒体账户、帖子和信息可以拼凑在一起,以提供关于个人的相当完整的图片。从数百篇来自开源网站的文章中可以看出,图像和视频揭示了大量信息,并可用于地理定位。而真正让人感到新鲜的是,使用Strava等健身应用让跟踪个人变得很容易。
美国军方已经审查了健身追踪器的规则,其他国家也可能这样做。然而,在许多军事地点仍有可能发现大量美国用户。还值得注意的是,这只是Polar心率监测器的数据,而世界上到处都是跟踪设备和应用。例如,中国的健身应用已经被数亿人所使用,而这些应用由政府资助,旨在发展“各种健身活动和特殊体育项目”。
健身设备和应用只是人们需要了解他们共享的数据类型的又一个领域,而这些数据恰恰也是他们所最依赖的。和往常一样,检查你的应用权限,尝试匿名化你的在线状态,如果你仍然坚持跟踪你的活动的话,请在公共区域开始和结束活动。最后,如果你想得到绝对的保证,要在未来的锻炼中不会遇到数据陷阱,你可以把你的设备留在家里,这样你就可以实现匿名了。
AD: 8月3日,北京四季酒店!猎云网将与您相约“智变新金融——猎云网2018金融科技产业创新峰会”,共同探讨前沿技术,洞悉金融智变!