/cdn.vox-cdn.com/uploads/chorus_image/image/58601833/vrg_vdt_203_strava_header_360.0.0.png)
Strava, Inc., fabricante de una aplicación de gimnasia basada en GPS que se ha enfrentado en días recientes a una función de mapas de calor que muestra ubicaciones militares estadounidenses, ha alentado a los usuarios a leer sobre sus opciones de privacidad y actualizar su configuración si son eso preocupado.
Pero una de esas opciones de privacidad clave puede no ser del todo privada, dice una firma de seguridad móvil.
La característica Zonas de privacidad de Strava, que permite a las personas crear una geocerca alrededor de su hogar u oficina para evitar que otros usuarios vean esas ubicaciones, se vuelve inútil gracias a la geometría simple. Eso es según Wandera, una empresa de administración de datos y seguridad móvil con sede en el Reino Unido que logró descubrir el punto final exacto de un usuario de Strava después de una carrera, incluso con las Zonas de Privacidad habilitadas.
Dan Cuddeford, director de ingeniería de sistemas de Wandera, dijo que la compañía realizó una serie de pruebas el año pasado en torno a su oficina en San Francisco. Creó dos nuevas cuentas de Strava en dos iPhones. En una de las cuentas, los entrenamientos fueron públicos y no se habilitaron Zonas de privacidad, que son las configuraciones predeterminadas para Strava. En la segunda cuenta, el equipo creó una Zona de privacidad de un octavo de milla alrededor de la oficina. (Strava ofrece cinco distancias fijas para zonas de privacidad).
Un corredor de prueba fue por dos carreras, la primera carrera con dos iPhones y dos cuentas separadas de Strava, una con zonas de privacidad y la otra sin ellas. La segunda ejecución se produjo con un teléfono con zonas de privacidad habilitadas para crear un tercer punto de datos de zona de privacidad. A partir de tres puntos de datos registrados, Wandera pudo usar matemáticas de nivel secundario para triangular los puntos de entrada y finalización exactos del corredor.
Cuddeford agregó que, en muchos casos, depender de las capacidades de GPS de un teléfono inteligente sería menos preciso que usar este método de triangulación, especialmente en áreas urbanas donde las señales de GPS pueden ser complicadas. “Lo que fue realmente interesante aquí es que a través de la buena intención de Strava a través de este servicio, en realidad empeora la situación”, dijo en una entrevista con The Verge .
Wandera dijo que le contó a Strava sus hallazgos en junio de 2017.
Un vocero de Strava dijo en un comunicado a The Verge que si bien el equipo de ingeniería de la compañía “ha estado trabajando para aumentar y mejorar las opciones de privacidad mucho antes de que nos contacten esta compañía y otras, apreciamos su interés en nuestra plataforma. En las próximas semanas, Strava lanzará más opciones de privacidad para los usuarios “.
Definitivamente no es la primera vez que los investigadores de seguridad triangulan la ubicación de los usuarios de aplicaciones móviles para demostrar cuán expuestos están y, para algunas personas, los resultados de la prueba Strava de Wandera pueden parecer incluso obvios.
En 2014, una empresa llamada IncludeSecurity (IncludeSec para abreviar) mostró cómo alguien podía descubrir la ubicación de un usuario de Tinder usando tres o más medidas distantes a un objetivo, llegando a 100 pies de dicho objetivo. Tinder resolvió la falla de seguridad unos cuatro meses después de ser contactado por IncludeSec, y el entonces CEO Sean Rad aseguró a los usuarios que la compañía “implementó medidas específicas para mejorar la seguridad de la ubicación y oscurecer aún más los datos de ubicación”.
Ese mismo año, un usuario en PasteBin escribió sobre una vulnerabilidad similar en la aplicación Grindr , explicando cómo es posible que una “entidad maliciosa” envíe “solicitudes de distancia desde tres puntos diferentes y use las respuestas para calcular la posición exacta de un particular usuario.”
En otras palabras, las aplicaciones sociales basadas en GPS están utilizando inherentemente sus datos de ubicación. Eso es genial cuando quieres conocer o conectarte con personas de tu comunidad, pero puede ser espeluznante cuando un seguidor que prefieres no encontrar en la vida real es capaz de averiguar dónde estás (o dónde trabajas o dónde vives) . En el caso de Strava, se supone que esta característica particular de Zona de privacidad ayuda a proteger a las personas de eso, pero resulta que puede estar haciendo muy poco para proteger a los usuarios.
Cuddeford dijo que recomendó que Strava sea “menos preciso en torno a sus zonas de privacidad” para ocultar las ubicaciones de los usuarios. “Cada vez que vuelves, tu ubicación exacta debe ser aleatoria”.
Pero, dijo Cuddeford, la principal respuesta de Strava a la firma fue que “los usuarios podrían optar por no recibir el servicio en conjunto … lo cual respetamos, pero lo que hemos determinado es que no se puede esperar que los usuarios realicen todas estas configuraciones “
