La aplicación de ejercicio social Strava puede revelar su domicilio

Un nuevo informe afirma que Strava, la red social de seguimiento de la actividad, ya no funcionaba cuando se reveló que sus usuarios estaban mapeando inconscientemente bases militares estadounidenses secretas en el extranjero , tiene un importante problema de privacidad: puede revelar públicamente dónde viven sus usuarios.

Para empeorar las cosas, el informe de la firma de seguridad móvil Wandera dice que este problema ocurre cuando los usuarios intentan marcar sus hogares u otros lugares sensibles como privados, no porque no se haya habilitado la configuración de privacidad correcta.

En pocas palabras, las personas que siguieron los consejos de la compañía sobre cómo mantener privadas sus direcciones de hogar pueden haberlas hecho más fáciles de encontrar.

Un diagrama de riesgo de Venn

La publicación de Wandera, una de las nuevas empresas especializadas en seguridad móvil , explica cómo la función “Zonas de privacidad” de Strava puede identificar a un corredor o ciclista porque estas zonas se representan como círculos idénticos en un mapa. Los círculos bloquean dónde comienzas o finalizas una carrera.

(Advertencia, geometría adelante.)

“Al usar los puntos finales de una actividad, es posible determinar qué opción de radio fue seleccionada por el usuario y luego triangular la ubicación exacta de la dirección seleccionada”, dice el informe. “Como la zona de privacidad tiene el mismo tamaño en cada actividad, es posible representar esto gráficamente aumentando el radio de los círculos alrededor de cada marcador de actividad hasta que se crucen tres o más círculos”.

Piense en los diagramas de Venn que se han convertido en su propio meme de Internet, excepto que en este caso le permiten a otras personas saber dónde vive, o al menos dónde guarda su costosa bicicleta de fibra de carbono.

“La estrategia de reidentificación discutida aquí (puntos en un círculo) parece ser efectiva y bastante problemática”, dijo Stacey Gray, asesora política del Future of Privacy Forum , un grupo de expertos con sede en Washington DC. “Puede ser exclusivo de Strava … No conozco ninguna otra aplicación de fitness que permita zonas de privacidad similares basadas en el radio”.

Mb (0) – sm Mt (0.8em) – sm “style =” margin: 0px 0px 1em; “data-reactid =” 31 “> El único comentario de Strava sobre cuestiones de privacidad después de la historia de las bases militares se rompió – junto con la documentación posterior del desarrollador Steve Loughran sobre cómo rastrear a un extraño en Strava mediante la carga de un registro de ruta de actividad falsa – había sido una carta abierta del 29 de enero publicada en el sitio de Strava por el CEO James Quarles.

El post dice que la compañía con sede en San Francisco está “revisando características que fueron diseñadas originalmente para la motivación e inspiración de los atletas para asegurar que no puedan ser comprometidas por personas con malas intenciones” y está trabajando en “simplificar nuestras características de privacidad y seguridad”.

Pero el miércoles, el portavoz de Strava Andrew Vontz se dirigió específicamente al informe de Wandera. “Si bien el equipo de ingeniería de Strava ha estado trabajando para aumentar y mejorar las opciones de privacidad mucho antes de que esta empresa y otras nos contacten, apreciamos su interés en nuestra plataforma”, dijo. “En las próximas semanas, Strava lanzará más opciones de privacidad para los usuarios”.

Lo que Strava podría hacer en su lugar

Wandera tiene ideas propias sobre cómo solucionar este problema.

“Strava debería considerar aleatorizar la distancia que usa su zona de privacidad para cada actividad, de modo que el radio no se pueda utilizar para determinar la ubicación oculta exacta”, escribió Dan Cuddeford, director de ingeniería de sistemas, en un correo electrónico enviado por un publicista.

Por ejemplo, dijo, Tinder sufrió el mismo problema hasta que Include Security documentó cómo la implementación de una función de ubicación de la aplicación de citas podría ayudar a un atacante a identificar la ubicación de un usuario de Tinder dentro de los 100 pies.

“Desde entonces, Tinder ha actualizado la aplicación y ahora solo muestra una distancia redondeada en lugar de una distancia precisa”, dijo Cuddeford.

Cuddeford agregó que Wandera ofreció esta recomendación a Strava cuando reveló esta investigación a la compañía el año pasado. Wandera dice que la respuesta de Strava fue más o menos, las “zonas de privacidad funcionaban según lo previsto y los usuarios podían optar por no participar por completo si era necesario”.

Tenía algunos consejos contradictorios para los usuarios de Strava, entre ellos los empleados de Wandera, para usar la aplicación de forma más privada: desactive las zonas de privacidad. En su lugar, recomendó una implementación analógica de una zona de privacidad: “No inicie / detenga las actividades de Strava hasta que esté a una distancia aleatoria de su ubicación confidencial”.

Otro problema de usabilidad de Strava

Wandera, sin embargo, omite otra falla de usabilidad con Strava: para usar zonas de privacidad, debe apartar la aplicación móvil en la que de otra manera interactuaría exclusivamente con el servicio y en su lugar ir a su sitio web .