斯特拉瓦公司(Strava,Inc.)是一家基于GPS的健身应用程序的**商,该应用程序最近几天因显示美国军事位置的热图功能而遭到**。该公司鼓励用户阅读他们的隐私选项,并在他们担心的情况下更新他们的设置。
但一家移动安全公司表示,其中一个关键的隐私选项可能根本就不是很隐私。
Strava的隐私区功能允许人们在家里或办公室周围创建一个地理围栏,以阻止其他用户看到这些位置,通过简单的几何图形,它变得毫无用处。这是英国移动安全和数据管理公司Wandera的说法。该公司在运行Strava后,即使启用了隐私区,也能找出用户的确切终点。
Wandera的系统工程总监Dan Cuddeford说,该公司去年在旧金山美国办事处进行了一系列测试。它在两部iPhone上建立了两个全新的Strava账户。在其中一个帐户上,训练是公开的,没有启用隐私区,这是Strava的默认设置。第二个原因是,团队在办公室周围创建了八分之一英里的隐私区(斯特拉瓦为隐私区提供五个固定距离。)
一名测试人员进行了两次测试,第一次使用两部iPhone和两个单独的Strava帐户,一个有隐私区,另一个没有隐私区。第二次运行时,一部**启用了隐私区,可以创建第三个隐私区数据点。根据三个记录的数据点,Wandera能够使用高中水平的数学对跑步者的准确起点和终点进行三角测量。
Cuddeford补充说,在许多情况下,依靠智能**自身的GPS功能最终会比使用这种三角测量方法精度更低,尤其是在GPS信号可能很棘手的城市地区。”这里真正有趣的是,通过Strava通过这项服务的良好意图,这实际上使事情变得更糟,”他在接受Verge采访时说。
Wandera表示,早在2017年6月,它就向Strava透露了调查结果。
Strava的一位发言人在一份声明中说,虽然该公司的工程团队“早在该公司和其他公司联系我们之前,就一直在努力增加和改进隐私选项,但我们感谢他们对我们平台的兴趣。在未来几周,斯特拉瓦将为用户推出更多隐私选项。”
这肯定不是安全研究人员第一次对移动应用程序用户的位置进行三角测量,以证明他们的暴露程度,对一些人来说,Wandera的Strava测试结果甚至可能看起来很明显。
2014年,一家名为IncludeSecurity(简称IncludeSec)的公司展示了一个人如何通过对目标进行三次或更多距离的测量,找到打火机用户的位置,距离目标100英尺以内。Tinder在与IncludeSec联系大约四个月后解决了安全漏洞,当时的首席执行官Sean Rad向用户保证,该公司“实施了具体措施,以增强位置安全性并进一步模糊位置数据。”
同年,PasteBin上的一位用户写道应用程序Grindr中存在类似的漏洞,解释了“恶意实体”如何可能“从三个不同点发送距离请求,并使用响应计算特定用户的确切位置”
换句话说,基于GPS的社交应用程序本质上就是在使用你的位置数据。当你想与社区中的人见面或联系时,这很好,但当你不想在现实生活中遇到的追随者能够知道你在哪里(或你在哪里工作或住在哪里)时,这可能会令人毛骨悚然。在Strava的案例中,这个特殊的隐私区功能本应帮助保护人们不受此影响,但事实证明,它对保护用户的作用可能微乎其微。
Cuddeford说,他建议Strava“在其隐私区域内不太准确”,以掩盖用户的位置每次你回来,你的确切位置都应该随机化。”
但是,Cuddeford说,Strava对该公司的主要反馈是“用户可以选择完全退出该服务……这是我们尊重的,但我们确定的是,用户不能期望通过所有这些设置。”
... 到2017年底,斯特拉瓦更新了全球热图,通过该应用程序跟踪了10亿次公共活动。这是从10兆字节的数据中收集到的,总追踪距离为270亿公里。热图是一个有趣的关于我们如何在世界各...
...有另一个问题:DuckDuckGo刚刚推出了更新的浏览器扩展和移动应用程序,以帮助您保持安全,并使您的数据在网上更加隐私。让我们看看他们提供了什么。 ...
...超级英雄是一个创新的射手,只有当你做的时候时间才会移动。一切都用简单的多边形图形来表示:你可以与之交互的对象是黑色的,而敌人则显示为红色。 ...
斯特拉瓦是最大的名字在跑步和自行车骑行跟踪。然而,它偶尔会因为泄露美国秘密军事基地或启用打瞌睡而遇到麻烦。如果您使用它,您可能想知道谁确切地可以看到您跟踪的活动。嗯,答案几乎是每个人。 所有人(默认) ...
...果你从家里开始,任何人都能知道你住在哪里。 毕竟,斯特拉瓦是一个社交网络 斯特拉瓦基本上是一个健身爱好者的社交网络。分享你的位置数据是什么让你可以比较你的表现,在不同的路线和路段与其他人,无论你是否知道...
...ver HTTPS(DoH)。这项技术将加密DNS查找,提高在线隐私和安全性。但这是有争议的:康卡斯特正在游说反对它。这是你需要知道的。 什么是https上的dns(dns over https)? 网络一直在推动默认加密一切。此时,您访问的大多数网站...
...特尔的系统每秒评估439幅图像。这确实比英特尔在第10代移动处理器上看到的结果要好。 那么这一切意味着什么呢?好吧,我们可以预期老虎湖在多任务处理、办公效率以及人工智能任务方面会比冰湖表现出色。它在单核性能上...
...误”的电子邮件,要求他们从带有亚马逊电子邮件地址的移动设备上删除TikTok。该公司后来澄清说,“我们关于TikTok的政策目前没有改变。” 中国公司ByteDance旗下的TikTok是最近曝光的几个在后台运行时访问用户剪贴板数据的应...
Ring宣布,将在其移动应用程序中添加一个新的隐私控制面板,让Ring所有者管理其连接的设备、第三方服务,以及与Ring合作的当地警方是否可以请求访问账户上Ring摄像头的视频。该公司表示,其他隐私和安全设置将在未来添加...
...人,这引发了一种反应,就像一个流行歌星在本周三星的移动世界大会新闻发布会上所做的那样。当然,这部关于他一生的奥斯卡获奖影片有助于他的公众认可。 ...