跑步健身app Strava 路徑圖意外洩軍跡! 七習慣保護行動裝置

“與全世界運動愛好者交流”為定位的Strava 行動應運程式,號稱有數百萬名跑者與自行車手因為熱衷相同運動,而透過網路彼此交流聯繫。Strava 可以把iPhone 和 Android 手機變成跑步和騎車記錄系統,也能和 GPS 手錶和頭戴裝置搭配使用。這個號稱”全球最好的追蹤系統”,擁有強大的 GPS 定位技術,可記錄、分享用戶的運動路徑。 但由於 Strava 的地圖資訊過於詳盡,可能讓使用該 app 的軍人不小心讓軍事基地等敏感資訊曝光。

根據一份報告指出,2017 年 11 月健身記錄應用程式 Strava 公布了一份其用戶能呈現出用戶所走過路徑地圖的熱區圖,其中包含了 10 億筆活動記錄、3 兆個經緯度定位點、13 兆個點陣像素,以及 10 TB 的輸入資料。但這個健身記錄應用程式卻也可能意外洩漏美國機密軍事基地、巡防及前線作戰基地 (FOB) 的位置。

美軍基地「清晰可辨並可在地圖上找到」

美國聯合衝突分析機構 (Institute for United Conflict Analysts) 創始會員 Nathan Ruser 率先在 Twitter 上批露此訊息。他指出,Strava 的熱區圖讓美軍基地「清晰可辨並可在地圖上找到」。不僅如此,Ruser 更找到了一個敘利亞境內的 Khmeimim 俄羅斯基地、土耳其軍隊巡防點、阿富汗前線作戰基地,以及士兵跑步健身路徑。Ruser 在 Twitter 上指出,基地位置曝光還不是唯一的令人擔心的問題。其中的「生活模式」資訊,才是這份熱區圖可能帶來的嚴重風險,因為許多人都未將資訊設為隱私。

根據 Strava 表示,使用者可根據其需求來調整隱私設定。例如,可在活動當中增加私密區域來隱藏使用者在某些區域開始或結束的活動 (如在家或在辦公室),不讓其使用者看到。此外,還有一個選項可以關閉活動資料的匿名分享。

還可能擷取使用者姓名、檔案照片、心律資料等個資

但儘管如此,熱區圖不僅可能洩漏定位資訊,還可能被用來從 Strava 的後台系統 擷取使用者姓名、檔案照片、心律資料等等。熱區圖的詳細程度已經足以威脅個人安全。歐洲一位專門研究隱私權的專家 Lukasz Olejnik 表示,即使設定了私密區域,該資料當中還是包含了一定程度不應公開的個人身分識別資訊 (PII)。

若不想分享熱區圖資料,必須手動關閉

Strava 公開熱區圖的事件突顯物聯網 (IoT) 的成長確實帶來了危險,原因是應用程式會自動分享使用者的熱區圖資料,使用者若不想分享,就必須手動關閉。雖然該應用程式只是個無害的健身記錄器,但卻可能為使用者帶來危險,這一點值得資安和 IT 人員省思。針對這點,企業機構必須強制實施一套 IoT 政策來管制可能使其連帶受到影響的裝置,而非只管制會經手「敏感」資料的裝置。

2019 年,全球手機使用者數量預計將突破 50 億大關。許多人的生活因科技而持續提升,但另一方面,卻也讓網路犯罪日益猖獗,受害者人數不斷攀升。其中,網路犯罪集團鎖定的資料之一就是使用者資訊,包括:信用卡資料、通訊錄名單、電子郵件地址、帳號登入憑證等等。

七個習慣防止網路犯罪集團進入您的行動裝置

為防止網路犯罪集團進入您的行動裝置,使用者最好養成以下七個習慣:

  1. 定期更新裝置的作業系統和應用程式:新的漏洞隨時可能被發現,而廠商也會盡速釋出修補更新來修正其應用程式和軟體。iOS 的使用者可以到「設定 > 一般 > 軟體更新」來檢查系統是否有更新。Android 使用者可以到「設定 > 關於 > 系統更新」來檢查更新。
  2. 啟用內建的安全功能:使用內建的防盜功能來提升行動裝置安全,例如:尋找我的 iPhone。此功能可協助您尋找手機所在的位置,而且萬一真的找不回來,還可以從遠端清除裝置上的資料。請至「設定 > 帳號與密碼 > iCloud > 尋找我的 iPhone」。
  3. 有限度提供定位資訊:某些應用程式和網站會存取裝置的定位資訊,因此就能掌握使用者的大概位置。當您在開啟 iOS 裝置的定位資訊時,建議您盡量選擇「使用 App 期間」而非「永遠」,這樣可以避免惡意程式在背後暗中取得裝置的定位資訊。
  4. 避免使用不安全的 Wi-Fi 網路 (您可關閉手機或平板的 Wi-Fi 自動連線功能)
  5. 只從可信賴的來源下載應用程式
  6. 啟用裝置自動鎖定功能
  7. 務必採用高強度的密碼。原文出處:Strava Publishes Heatmap, Inadvertently Exposes Military Sites

《延伸閱讀》

< 延伸閱讀 >
跑步健身app Strava 路徑圖意外洩軍跡! 七習慣保護行動裝置
《資安漫畫 》物聯網 ( IoT )會洩漏女友的體重?
< 資安漫畫 > 跑步 app 透漏了不想公開的秘密!!

 

你的手機定位服務一直開著嗎?10 個保護行動設備的方法
< 資安漫畫 > 跑步 app 透漏了不想公開的秘密!!

 

PC-cillin 雲端版🔴防範勒索 🔴保護個資 ✓手機✓電腦✓平板,跨平台防護3到位

趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載

《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。

 

▼ 歡迎加入趨勢科技社群網站▼

好友人數

 

《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。