Araştırmacılar, Strava gibi fitness uygulamalarının, belirli alanlardaki aktivitelerini gizlemek için özel olarak gizlilik bölgeleri ayarlamak için uygulama içi özellikleri kullandıklarında bile kullanıcıların hassas konum bilgilerini sızdırdığını buldu.
Belçika’daki KU Leuven’den iki doktora öğrencisi, bir kişi faaliyetine evden başlıyorsa, sınırlı becerilere sahip bir saldırganın, ev konumunu tespit etmek için uygulamada ortaya çıkan yüksek hassasiyetli API meta verilerini kullanabildiğini keşfetti. o alan için “uç nokta mahremiyet bölgesi” (EPZ) olarak adlandırılan şeyi ayarlayın.
Dahası, araştırmacılar Karel Dhondt ve Victor Le Pochat, bu verileri sızdıran uygulamalarla şirketlerle iletişime geçmelerine rağmen sorunun hala büyük ölçüde çözülmediğini söyledi. Bulgularını Black Hat Asia’da “Bir Günde Bir Koşu Bilgisayar Korsanını Uzak Tutmayacak: Fitness İzleme Sosyal Ağlarında Uç Nokta Gizlilik Bölgelerine Yönelik Çıkarım Saldırıları” başlıklı bir oturumda sunmayı planlıyorlar. Dhondt ve Pochat daha önce çalışmayı ve beraberindeki makaleyi geçen Kasım ayında ACM Bilgisayar ve İletişim Güvenliği Konferansı (CCS) 2022’de sunmuştu.
İnsanlar, koşma, bisiklete binme veya yürüme gibi fitness aktivitelerini takip etmek ve bunlarla ilgili verileri paylaşmak için Strava gibi fitness uygulamalarını kullanır. Uygulamanın içinden, diğer kullanımların yanı sıra fitness hedefleri belirleyebilir ve bunlara ulaşabilir, ayrıca arkadaşlarıyla sanal olarak rekabet edebilir veya fitness antrenmanı yapabilirler.
Bununla birlikte, bu veriler, yanlış ellere geçerse, nerede yaşadıklarını veya fitness aktivitelerini sıklıkla nerede gerçekleştirdiklerini belirlemek için onlara karşı kullanılabilir ve potansiyel fiziksel zarara yol açabilir. 2017’de araştırmacılar, Strava’nın aktif görevdeki personelin fitness aktivitelerini uygulamada paylaşarak onları ve askeri aktivitelerini düşmanlara maruz bırakma ve onları fiziksel riske atma potansiyeline sahip olduğunda Strava’nın gizli Ordu üs konumlarını paylaştığını ortaya çıkardığında bu senaryo gün ışığına çıktı.
Uygulama Gizliliği Özel Değilken
Bu ifşaya yanıt olarak Strava ve diğer fitness uygulamaları, Strava’da EPZ olarak adlandırılan ancak diğer uygulamalarda başka adlara sahip olan gizlilik özellikleri ekledi. Bunlar, kullanıcıların evleri veya ofisleri gibi hassas konumların etrafındaki rotalarının bölümlerini gizlemelerine ve yalnızca bu tanımlanmış alanlardan ayrıldıktan sonra etkinliği izlemelerine olanak tanır.
Spesifik olarak, Strava’daki EPZ, birisinin içinde meydana gelen aktivite izlerini gizlemek için yapılandırabileceği dairesel bir alandır. Araştırmada yer alan ve benzer özelliklere sahip diğer uygulamalar arasında Garmin Connect, Relive, Komoot, Map My Tracks ve Ride With GPS yer alıyor.
Sırasıyla bir bisikletçi ve bir koşucu olan Dhondt ve Le Pochat, fitness uygulaması meraklılarıdır ve araştırmalarına kendi kişisel ilgileri doğrultusunda başladılar. Teorik olarak, Strava içindeki EPZ’lerin bu hassas konumlar hakkındaki konum verilerini uygulama kullanıcılarına veya etkinlik verilerini görüntüleyen diğer kişilere ifşa edilmekten koruması gerektiğini biliyorlardı.
Ama aslında durum böyle değil, buldular. Araştırmacılar, araştırmalarında ortaya çıkardıkları aktivite meta verilerinde sızan mesafe bilgilerini, sokak ızgara verilerini ve EPZ’ye giriş noktalarının konumlarını kullanarak başarılı bir siber saldırı oluşturdular. Bu sonuçlar, onları gizlemek için gizlilik bölgeleri kurmuş olsalar bile, kullanıcıların korunan konumlarını tahmin etmek için regresyon analizini kullanmalarına izin verdi.
Dhondt, Dark Reading ile yaptığı bir röportajda, “Meta verilerde, gizlilik bölgesinin içinde gizlenmesi gereken kısımlar da dahil olmak üzere tüm parçanın mesafe değeri var” diye açıklıyor. “Gizlilik alanı içinde katedilen mesafe sızdırıldı.”
Araştırmacılar, bu meta verileri yerel bölgenin haritalarıyla birleştirerek kullanarak, diğer kullanıcıların faaliyetlerini nerede bitirdiği veya başlattığı, dolayısıyla nerede yaşadıkları veya çalıştıkları hakkında tahminlerde bulunabileceklerini söylüyor.
Ayrıca, saldırının kendisi karmaşık değil, yani araştırmacılar, Web sunucusu iletişimlerinden API verilerini inceleyebilen basit bir geliştirici aracı olan herkesin sızan verileri görüntüleyebileceği anlamına geliyor.
Dhondt, “API çağrıları yapmak veya Strava ile iletişim yollarını değiştirmek zorunda değiller” diyor. “Strava, kişinin koşarak veya bisiklete binerek gittiği yerin haritasını her çizdiğinde, yüksek hassasiyetli API verileri zaten oradadır. Bir geliştirici aracı kullanabilir ve ağ trafiğini kolayca inceleyebilirsiniz. Veriler yalnızca bir tuş vuruşu uzağınızdadır.”
Saldırıyı Tasarlamak
Araştırmacılar araştırmalarını dünya çapındaki kullanıcılardan gelen verileri kullanarak yürüttüler ve saldırılarının hem seyrek nüfuslu hem de yoğun nüfuslu alanlarda işe yarayıp yaramadığını görmek için deneyler yaptılar. Araştırmacılar, öyle olduğu ortaya çıktı, ancak elbette, yalnızca birkaç evin veya diğer binaların bulunduğu alanlarda konumları belirlemek çok daha kolay, diyor araştırmacılar.
Ayrıca, daha geniş bir EPZ kurmak, saldırı performansını ve başarı oranını düşürürken, daha seyrek sokak ızgaralarındaki coğrafi olarak dağınık faaliyetler daha iyi saldırı performansı sağlar. Dhondt, “Kırsal veya seyrek alanlarda, bölgede yalnızca birkaç evin bulunduğu 200 metrelik bir mahremiyet bölgeniz varsa, konumu tam olarak belirlemek daha kolaydır” diyor.
Toplanan ve incelenen veriler açısından, araştırmacılar bir aylık bir süre boyunca dünyanın çeşitli yerlerinde 4.000 kullanıcının ve 1,4 milyon Strava etkinliğinin rastgele, büyük ölçekli verilerini kazıdı. Strava için elde ettikleri sonuçlar, saldırının EPZ’lerin %85’ine kadar korunan konumu keşfettiğini ve dolayısıyla bu bölgeleri kuran kullanıcıların yalnızca %15’ini koruduğunu buldu.
Azaltma ve Müdahale (Eksikliği)
Araştırmacılar, uygulamalarını inceledikleri tüm şirketlere bulgularını sorumlu bir şekilde ifşa etti ve sorunların çözülebileceği çeşitli yollar önerdi. Bununla birlikte, şimdiye kadar yalnızca Strava, araştırmacılara açıklama için teşekkür etmenin ötesinde yanıt verdi ve ikisi, potansiyel hafifletmeler için fitness uygulaması sağlayıcısıyla devam eden görüşmelerde bulunuyor.
Araştırmacılar, yine de şirketlerin, önerilen düzeltmelerin uygulanması halinde azalan kullanıcı deneyimine atıfta bulunarak hafifletme uygulamalarıyla özellikle ilgilenmediğini söyledi.
Dhondt, “Kullanıcıları için yardımcı programı olumsuz etkileyeceğini düşündükleri için önerilerimizden herhangi birini uygulamak konusunda isteksizdiler” diyor. Ancak bu, önerilen bazı düzeltmeler için doğru olsa da hepsi için doğru değil, diyor.
Örneğin bir azaltma, uygulamaların ağ iletişimlerinde kullanılan API’lerde ortaya çıkan verilerin doğruluğunu en aza indirmesini gerektirir. Strava’da katedilen mesafe ile ilgili kullanıcı arayüzündeki veriler 10 metre hassasiyetle, mahremiyet bölgesi içinde kat edilen mesafe ise 100 metre hassasiyetle aşağı yuvarlanmış olarak gösteriliyor. Ancak Le Pochat, API’de her iki mesafenin de 0,1 metre doğrulukla sağlandığını söylüyor.
Bu nedenle, “API’de bildirilen mesafelerin doğruluğu ne kadar düşükse, başarı oranı o kadar düşük olur. [of the attack] olurdu,” diyor Dhondt.
Araştırmacılar ayrıca, uygulamaların kullanıcıların yaşadıkları alan ve yoğun nüfuslu olup olmadığı göz önüne alındığında mahremiyet bölgelerinin boyutunu seçmelerine yardımcı olabileceğini ve bunun nispeten kolay bir düzeltme olacağını söylüyorlar. Kommut uygulamasının zaten yaptığı gibi, konumun tam olarak belirlenmesini zorlaştırmak için bölgeyi oluşturmak için dairesel olmayan, daha az tipik şekiller kullanmayı da öneriyorlar.
Araştırmacılar, adil olmak gerekirse, önerilen hafifletme önlemlerinden bazılarının uygulamanın kullanıcı deneyiminden uzaklaştığını kabul ediyor. Bunlar arasında, mesafeyi baştan alıp sona ekleyerek hafifçe kaydırmak ve bir başkası, kimsenin bir kullanıcının nerede olduğunu takip edememesi için gizlilik bölgesinde başlangıç ve bitişi uygulamada ölçülen mesafeden kesmek için önerilerdir. yolculukları sırasında olmuştu.
Dhondt, “İnsanlar bu uygulamaları performanslarını izlemek için kullanıyor, bu yüzden bundan hoşlanmayabilirler” diyor. “Bu uygulamaların eğlence ve çekiciliğinin bir kısmını alıyorlar.”
Araştırmacılar, genel olarak, Strava ve diğer fitness uygulaması sağlayıcılarının bu uygulamaların kullanılabilirliği ile işlevselliğini dengelemesi ve neyin daha önemli olduğuna karar vermesi gerektiğini söylüyor.
Le Pochat, “Veri miktarını azaltan ve işlevselliği azaltan gizliliğe mi öncelik verdiğiniz yoksa uygulamanın işlevselliğine mi öncelik verdiğiniz zor bir karar” diyor. “Bazen işlevsellik kazanmak için fedakarlıklar yapmanız ve mahremiyetten vazgeçmeniz gerekir.”