North Carolina Eyalet Üniversitesi Raleigh’deki araştırmacılar, Strava uygulamasının ısı haritası özelliğinde, kullanıcıların ev adreslerinin belirlenmesine yol açabilecek bir gizlilik riski keşfettiler.
Strava, dünya çapında 100 milyondan fazla kullanıcısı olan popüler bir koşu arkadaşı ve kondisyon izleme uygulamasıdır ve insanların kalp atış hızlarını, aktivite ayrıntılarını, GPS konumlarını ve daha fazlasını takip etmelerine yardımcı olur.
2018’de Strava, kullanıcıların (koşucular, bisikletçiler, yürüyüşçüler) etkinliklerini anonim olarak toplayarak kullanıcıların patikaları bulmasına veya sıcak noktalarda egzersiz yapmasına, benzer düşünen kişilerle tanışmasına ve seanslarını daha kalabalık ve daha güvenli yerlerde gerçekleştirmesine yardımcı olan “ısı haritası” adlı bir özelliği uygulamaya koydu.
Bununla birlikte, araştırmacıların bulduğu gibi, bu özellik, belirli kullanıcı meta verileriyle birleştirilmiş halka açık ısı haritası verilerini kullanarak kullanıcıları izleme ve anonimleştirme olasılığını açar.
Sporcuların evlerinin bulunması
Araştırmacılar tarafından atılan ilk adım, Arkansas, Ohio ve Kuzey Carolina eyaletleri için bir ay boyunca Strava ısı haritası aracılığıyla halka açık verileri toplamaktı.
Daha sonra, belirli bir evin izlenen bir etkinlik kaynağına bağlı olduğunu gösteren sokakların yanındaki başlangıç/durak alanlarını tespit etmek için görüntü analizini kullandılar.
Kriterlere uyan ısı haritası ekran görüntülerini seçen ekip, OpenStreetMaps görüntülerini bireysel konut adreslerinin belirlenmesine yardımcı olan yakınlaştırma düzeylerinde üst üste bindirdi.
Bir sonraki adım, konumları olarak belirli bir şehri kaydeden kullanıcıları bulmak için Strava’da yeterince belgelenmemiş bir arama özelliğinden yararlanarak kullanıcı taraması yapmaktı.
Araştırmacılar, ısı haritasındaki uç noktaları ve bir kullanıcının arama işlevindeki kişisel verilerini karşılaştırarak, ısı haritasındaki yüksek aktivite noktalarını ve kullanıcıların ev adreslerini ilişkilendirebilir.
Halka açık Strava profilleri, zaman damgaları ve mesafelerle etkinlik verilerini içerir, bu da ısı haritası verilerindeki kalıplarla eşleşen potansiyel rotaları belirlemeyi kolaylaştırır, insanları ve alan eşleşmelerini daraltır.
Birçok Strava kullanıcısı gerçek isimleriyle kaydolduğundan ve hatta kendi profil resimlerini yüklediğinden, kimlikleri ev konumlarıyla ilişkilendirmek mümkündür.
Bilim adamları araştırmaları için bulgularını seçmen kayıt verileriyle ilişkilendirdiler ve tahminlerinin kabaca %37,5 oranında doğru olduğunu buldular.
Araştırmacılar, “Daha aktif bir kullanıcı, Strava ısı haritasında daha fazla ısı üretir ve bu nedenle daha kolay tanımlanır. Şekil 7, yayınlanan aktivite sayısına dayalı olarak bir eşleşme olasılığını göstermektedir” diye açıklıyor.
“Analizin geri kalanında, saldırının hedefinin, veri kümemiz için 308 etkinlik olan ortalama sayıda etkinlik gönderdiğini varsayacağız.”
“100 metrelik eşik ve 308 aktivite yayınlayan kurban ile keşfedilme olasılığı %37,5.”
Strava’nın gizliliğini geliştirme
İlk pasif azaltma, çok miktarda Strava ısı haritası verisi alan ve kişiye özel izlemeyi neredeyse imkansız hale getiren yoğun nüfuslu bir bölgede yaşamaktır.
Bu gizlilik sorununu azaltmanın başka bir yolu, siz evinizden ayrıldıktan sonra izlemeye başlamak veya Strava’nın OpenStreetMaps’te işaretlendiği gibi ev konumlarının birkaç metre çevresinde ısı haritası için bir dışlama oluşturması olabilir.
Araştırmacılar ayrıca, ısı haritasının, kullanıcıların evlerinin çevresinde veya başka yerlerde de gizlilik bölgeleri belirleme seçeneğini desteklemesi gerektiğini önermektedir.
Isı haritası özelliği, tüm Strava uygulamalarında varsayılan olarak etkindir, ancak kullanıcılar ayarlardan devre dışı bırakabilir.
Profil ayarlarıyla ilgili olarak, gizlilik konusunda endişe duyanlar, adları ve etkinlik verilerini ifşa etmeyecek şekilde Strava uygulamasındaki kullanıcı profillerini gizli tutmalıdır.
BleepingComputer, makalenin bulguları ve yazılım satıcısının herhangi bir düzeltme planı olup olmadığı hakkında yorum yapmak için Strava ile temasa geçti, ancak yayın saatine kadar bir yanıt almadık.