La scappatoia dell'app Fitness consente l'accesso agli indirizzi di casa

May 09, 2023

Nonostante i tentativi di anonimizzare i dati degli utenti, l’app di fitness Strava consente a chiunque di trovare informazioni personali – compresi gli indirizzi di casa – su alcuni utenti. La scoperta, dettagliata in un nuovo studio, solleva notevoli preoccupazioni sulla privacy.

"Gli utenti di Strava si aspettano che le loro informazioni personali siano protette e il nostro lavoro dimostra che non è sempre così", afferma Anupam Das, autore senior di un articolo sul lavoro e assistente professore di informatica presso la North Carolina State University. "Ciò potrebbe essere particolarmente problematico per gli utenti che sono preoccupati per gli stalker o che hanno altri motivi per desiderare che i loro dati sulla posizione siano tenuti nascosti al pubblico."

Strava è un'app mobile per il monitoraggio del fitness che consente agli utenti di monitorare le proprie attività di allenamento, ma include anche funzionalità progettate per aiutare gli utenti a connettersi tra loro. Queste funzionalità possono essere utilizzate per organizzare club attorno a interessi condivisi, come l'escursionismo o il ciclismo. Ad esempio, l'app include una funzionalità "mappa termica" che aggrega i dati dell'utente. Mentre tutti i dati utente sono resi anonimi, la funzione mappa termica consente agli utenti di vedere quanti altri utenti Strava fanno escursioni, corrono o vanno in bicicletta in una determinata area.

"Strava sottolinea che la funzionalità della mappa termica utilizza solo dati aggregati, il che dovrebbe rendere impossibile a chiunque acquisire informazioni private su un utente specifico", afferma Das. "Tuttavia, abbiamo trovato una scappatoia."

Nello specifico, i ricercatori hanno scoperto che chiunque può cercare tutti gli utenti Strava in una determinata area. È anche possibile per gli utenti guardare i dati aggregati su una mappa termica e vedere dove iniziano e finiscono ciascuno dei percorsi degli utenti anonimi.

"In un'area densamente popolata, con molti percorsi e molti utenti, ci sono così tanti dati che sarebbe estremamente difficile tracciare una persona specifica", afferma Das. "Tuttavia, nelle aree in cui ci sono pochi utenti e/o pochi percorsi, diventa un semplice processo di eliminazione, soprattutto se la persona che qualcuno sta cercando è un utente Strava molto attivo. Anche gli utenti che hanno contrassegnato il proprio account come privato si presentano quando qualcuno cerca un elenco di tutti gli utenti di un dato comune, quindi contrassegnare un account come privato non fornisce necessariamente una protezione aggiuntiva contro questa tecnica di tracciamento."

"Abbiamo contattato Strava a questo proposito, e la società ha affermato che non condivide i dati della mappa termica a meno che diversi utenti non siano attivi in ​​una determinata area", afferma Kevin Childs, primo autore dell'articolo ed ex studente universitario presso NC State. "Tuttavia, siamo comunque riusciti a identificare gli indirizzi di casa di alcuni utenti in determinate aree utilizzando la mappa termica e abbiamo confermato tali identificazioni utilizzando i dati di registrazione degli elettori."

Tuttavia, c’è qualcosa che gli utenti possono fare per proteggere la propria privacy.

"Gli utenti possono accedere alle impostazioni del proprio account Strava e disattivare il contributo dei dati alla funzione 'utilizzo dei dati aggregati', che rimuoverebbe del tutto i loro percorsi dalla mappa di calore", afferma Das.

Il documento, "Heat Marks the Spot: De-Anonymizing Users' Geographical Data on the Strava Heatmap", è stato presentato il 25 maggio al 7° workshop sulla tecnologia e la protezione dei consumatori (ConPro '23) a San Francisco, California. -scritto da Daniel Nolting, uno studente universitario presso la NC State.

-marinaio-

Nota agli editori:Di seguito l'abstract dello studio.

"Il calore segna il punto: de-anonimizzazione dei dati geografici degli utenti sulla mappa di calore Strava"

Autori: Kevin Childs, Daniel Nolting e Anupam Das, North Carolina State University

Presentato: 25 maggio, ConPro '23, San Francisco, California.

Astratto: Le app mobili per il monitoraggio del fitness come Strava sono comunemente utilizzate per registrare attività, monitorare i progressi del fitness e formare una comunità con persone che la pensano allo stesso modo. Nel tentativo di coinvolgere ulteriormente la comunità, nel 2018 Strava ha implementato una funzione di disattivazione della mappa termica che aggrega in modo anonimo tutte le attività su un'unica mappa. Ciò consente agli utenti di trovare hot spot e percorsi attivi aprendo contemporaneamente la piattaforma ad attacchi di deanonimizzazione come dedurre gli indirizzi di casa degli utenti. Eseguendo la scansione della mappa termica disponibile al pubblico e attraverso la convalida manuale, abbiamo dimostrato che è possibile identificare l'indirizzo di casa di utenti altamente attivi in ​​aree remote, violando le dichiarazioni sulla privacy di Strava e rappresentando una minaccia per la privacy degli utenti.