健身APP要挟环球政要和军方秘密 马克龙行迹被保镖走漏
近年来,科技提高推进了健身静止的数字化和社交化,各种配置丰盛的健身运行(如Strava、Polar、咪咕等)深受用户喜欢。但是,不为人知的是,很多抢手健身运行往往不经意间成为敏感信息的“漏点”,甚至给环球政要、军方以及情报部门带来严重安保隐患。
马克龙行迹被特工“出卖”
近日,据法国《环球报》报道,法国特勤局总统安保小组(GSPR)最近出现了严重的信息安保意外——法国总统马克龙的安保团队成员在Strava记载并地下分享团体锻炼路途,异常暴露了马克龙的实时物理位置,马克龙下榻的酒店、会议室和行程都可以经过这款运行实时追踪:
马克龙的行迹被安保团队走漏
该数据走漏事情不只有挟到马克龙的团体隐衷,甚至或许被恶意组织用来筹划实施“斩首攻打”。据The Register报道,美国总统拜登和俄罗斯总统普京也容易遭到相似跟踪要挟。在2018年出现的健身运行数据走漏事情中,克里姆林宫安保团队的巡查路途在X上被地下颁布:
在Strava热图配置中走漏的克里姆林宫安保团队巡查路途
马克龙行迹泄密事情在法国引发了宽泛的安保讨论,法国政府呐喊增强对运行隐衷设置的管控和员工安保看法培训,并迅速采取措施,严厉要求一切安保人员封锁位置共享配置,防止相似事情再次出现。
美军早有先例:数据暴露引发外部整理
在马克龙行迹暴露之前,健身运行造成的政要和军队敏感信息走漏事情曾经屡次出现,其关键“漏点”是健身APP的热图配置。例如,Strava的环球热图(Global Heatmap)配置最早于2017年颁布,可聚合展现用户优惠的抢手位置。
这种聚合位置数据的配置本意在于社交,但关于敏感人群来说,却成为潜在的泄密危险,尤其是关于政府上班人员和军方成员而言,其优惠轨迹或许成为暴露军事基地和秘密信息的危险源。
在Strava热图配置中走漏的美军基地人员执行路途
据《卫报》报道,该配置曾有意间展现了美军在伊拉克、叙利亚等地的基地位置。早在2018年,美军便因发现该健身运行暴露军基地位置而紧急调整隐衷设置(上图)。据CNN报道,过后美军外部下达了“暂停经常使用”命令,以缩小数据暴露的危险,并对一切军事人员启动了隐衷包全安保看法培训。但是,即使如此,随着健身运行的一直遍及及其配置的丰盛,数据隐衷和泄密疑问一直未能彻底处置。
值得留意的是,虽然“热图”配置由用户控制,可手动设置隐衷形式以暗藏数据。但是,许多用户并不相熟这一隐衷选项的详细设置,造成敏感位置暴露在外。数据安保专家剖析指出,这种地下显示的静止轨迹能够被敌方用于剖析军队的优惠形式,从而推断其运作法令,进而启动针对性攻打。
在此背景下,Strava采取了“整改”措施,在2021年降级了隐衷设置,准许用户对详细地点启动“隐衷遮罩”,即用户可以设定某些区域的数据不地下。
健身运行安保破绽不是个案
莫斯科的环球健身热图
健身运行的数据暴露危险具备普遍性,不只仅是Strava,芬兰的健身运行Polar雷同因暴露敏感信息而堕入风云。与Strava的热图相似,Polar的Explore地图配置准许用户地下显示锻炼数据,造成少量敏感信息暴露。例如,有记者在地下的Polar地图数据中发现了美国国度安保局(NSA)、英国军情六处(MI6)以及法国DGSE等情报机构员工的优惠记载。此类运行的疑问在于,即使用户设定为“私密”形态,运行的开发者API依然可以被应用,以便捷的方法失掉用户的行迹信息。
更为严重的是,记者们经过这类运行发现了特定情报机构上班人员的家庭住址及其日常出行路途。这种数据暴露引发了环球政府和军事机构的剧烈关注,由于即使是最低级别的定位数据,一旦被恶意应用,也会为恐惧组织等提供可观的情报支持。
虽然Polar迅速调整了隐衷设置,封锁了局部敏感区域的地下数据,并限度其API的访问频率以此缩小信息的暴露,但这一事情标明健身运行安保破绽对隐衷和信息安保的要挟具备普遍性。
随着健身运行在环球范畴内的遍及,其数据暴露疑问已不只仅是团体隐衷的疑问,而是回升到国度安保层面的应战。法国和美国的健身运行泄密事情标明,APP开发商在设计配置时,往往未能充沛思考到数据的潜在危险。关于Strava、Polar等抢手运行,不只须要增强数据安保和隐衷包全监管,一直完善隐衷包全措施,更要增强对用户的安保看法教育,确保敏感信息不因用户的疏忽而被暴露。
GoUpSec数据安保专家指出,未来抢手健身运行须要改良隐衷设置机制,如增强自动隐衷包全配置,或在运行启用时即刻提示用户审核隐衷设置。关于政府和军事机构,则须要建设健全人员安保看法培训机制,提高对敏感数据包全的看法,以防止此类事情重复重演。