斯特拉瓦公司（Strava，Inc.）是一家基于GPS的健身应用程序的**商，该应用程序最近几天因显示美国军事位置的热图功能而遭到**。该公司鼓励用户阅读他们的隐私选项，并在他们担心的情况下更新他们的设置。

但一家移动安全公司表示，其中一个关键的隐私选项可能根本就不是很隐私。

Strava的隐私区功能允许人们在家里或办公室周围创建一个地理围栏，以阻止其他用户看到这些位置，通过简单的几何图形，它变得毫无用处。这是英国移动安全和数据管理公司Wandera的说法。该公司在运行Strava后，即使启用了隐私区，也能找出用户的确切终点。

Wandera的系统工程总监Dan Cuddeford说，该公司去年在旧金山美国办事处进行了一系列测试。它在两部iPhone上建立了两个全新的Strava账户。在其中一个帐户上，训练是公开的，没有启用隐私区，这是Strava的默认设置。第二个原因是，团队在办公室周围创建了八分之一英里的隐私区(斯特拉瓦为隐私区提供五个固定距离。）

一名测试人员进行了两次测试，第一次使用两部iPhone和两个单独的Strava帐户，一个有隐私区，另一个没有隐私区。第二次运行时，一部**启用了隐私区，可以创建第三个隐私区数据点。根据三个记录的数据点，Wandera能够使用高中水平的数学对跑步者的准确起点和终点进行三角测量。

Cuddeford补充说，在许多情况下，依靠智能**自身的GPS功能最终会比使用这种三角测量方法精度更低，尤其是在GPS信号可能很棘手的城市地区。”这里真正有趣的是，通过Strava通过这项服务的良好意图，这实际上使事情变得更糟，”他在接受Verge采访时说。

Wandera表示，早在2017年6月，它就向Strava透露了调查结果。

Strava的一位发言人在一份声明中说，虽然该公司的工程团队“早在该公司和其他公司联系我们之前，就一直在努力增加和改进隐私选项，但我们感谢他们对我们平台的兴趣。在未来几周，斯特拉瓦将为用户推出更多隐私选项。”

这肯定不是安全研究人员第一次对移动应用程序用户的位置进行三角测量，以证明他们的暴露程度，对一些人来说，Wandera的Strava测试结果甚至可能看起来很明显。

2014年，一家名为IncludeSecurity（简称IncludeSec）的公司展示了一个人如何通过对目标进行三次或更多距离的测量，找到打火机用户的位置，距离目标100英尺以内。Tinder在与IncludeSec联系大约四个月后解决了安全漏洞，当时的首席执行官Sean Rad向用户保证，该公司“实施了具体措施，以增强位置安全性并进一步模糊位置数据。”

同年，PasteBin上的一位用户写道应用程序Grindr中存在类似的漏洞，解释了“恶意实体”如何可能“从三个不同点发送距离请求，并使用响应计算特定用户的确切位置”

换句话说，基于GPS的社交应用程序本质上就是在使用你的位置数据。当你想与社区中的人见面或联系时，这很好，但当你不想在现实生活中遇到的追随者能够知道你在哪里（或你在哪里工作或住在哪里）时，这可能会令人毛骨悚然。在Strava的案例中，这个特殊的隐私区功能本应帮助保护人们不受此影响，但事实证明，它对保护用户的作用可能微乎其微。

Cuddeford说，他建议Strava“在其隐私区域内不太准确”，以掩盖用户的位置每次你回来，你的确切位置都应该随机化。”

但是，Cuddeford说，Strava对该公司的主要反馈是“用户可以选择完全退出该服务……这是我们尊重的，但我们确定的是，用户不能期望通过所有这些设置。”