據(jù)BleepingComputer 6月11日消息，美國(guó)北卡羅來納州立大學(xué)羅利分校的研究人員發(fā)現(xiàn) Strava 應(yīng)用程序的熱圖功能存在隱私風(fēng)險(xiǎn)，可能導(dǎo)致攻擊者識(shí)別出用戶的家庭住址。

Strava 是一款流行的跑步伴侶和健身追蹤應(yīng)用程序，在全球擁有超過 1 億用戶，可幫助人們追蹤心率、活動(dòng)詳情、GPS 位置等。2018 年，Strava 實(shí)施了一項(xiàng)名為“熱圖”的功能，該功能匿名匯總用戶的活動(dòng)區(qū)域，以幫助用戶尋找熱門運(yùn)動(dòng)場(chǎng)地及路線。

但研究人員發(fā)現(xiàn)，此功能雖然使用了公開可用的熱圖數(shù)據(jù)，但結(jié)合特定用戶的元數(shù)據(jù)可能會(huì)泄露特定用戶行蹤，甚至讓用戶真實(shí)身份得到暴露。

研究人員先是搜集了Strava 一個(gè)月內(nèi)阿肯色州、俄亥俄州和北卡羅來納州的熱圖數(shù)據(jù)，接著用圖像分析來檢測(cè)街道旁邊的開始和停止區(qū)域，以此表明特定房屋與跟蹤活動(dòng)的關(guān)聯(lián)性。

房子附近的活動(dòng)熱度

在選擇符合標(biāo)準(zhǔn)的熱圖屏幕截圖后，研究人員以能夠識(shí)別個(gè)人住所地址的縮放級(jí)別覆蓋 OpenStreetMaps 圖像，并利用Strava上的搜索功能爬行用戶信息，以找到將某一特定城市作為其所在地的用戶。

覆蓋住所位置

通過比較熱圖中的端點(diǎn)和搜索功能中用戶的個(gè)人信息，研究人員可以將熱圖上的高頻活動(dòng)點(diǎn)與用戶的家庭住址相關(guān)聯(lián)。公開的 Strava 配置文件包含帶有時(shí)間戳和距離的活動(dòng)數(shù)據(jù)，從而更容易識(shí)別與熱圖數(shù)據(jù)中的模式相匹配的活動(dòng)路線，從而縮小人員和區(qū)域匹配范圍。

可被利用的攻擊邏輯和數(shù)據(jù)概述

由于許多 Strava 用戶使用真實(shí)姓名注冊(cè)，甚至上傳了個(gè)人的真實(shí)資料照片，因此將身份與家庭地址相關(guān)聯(lián)是可能的。

在研究中，研究人員將他們的發(fā)現(xiàn)與選民登記數(shù)據(jù)相關(guān)聯(lián)，發(fā)現(xiàn)其預(yù)測(cè)準(zhǔn)確率約為 37.5%，且用戶越活躍，準(zhǔn)確率就越高。

加強(qiáng) Strava 隱私

要想避免暴露個(gè)人住所，最理想的的狀態(tài)是住在人口稠密的地區(qū)，該地區(qū)會(huì)產(chǎn)生大量 Strava 熱圖數(shù)據(jù)，這使得幾乎不可能進(jìn)行針對(duì)特定人員的跟蹤。否則，建議用戶在離開家一段距離之后再開啟熱圖功能，或者讓 Strava 為 OpenStreetMaps 中標(biāo)記的家庭位置周圍幾米的熱圖創(chuàng)建排除項(xiàng)。

研究人員還建議，熱圖應(yīng)該支持用戶選擇在他們的住所周圍或其他地方設(shè)置隱私區(qū)域，目前情況下，啟用Strava后熱圖功能默認(rèn)處于活動(dòng)狀態(tài)，需要用戶自行通過設(shè)置選擇退出。

BleepingComputer 已聯(lián)系 Strava，要求對(duì)研究人員的發(fā)現(xiàn)以及軟件供應(yīng)商是否有任何修復(fù)計(jì)劃發(fā)表評(píng)論，但到目前尚未收到回復(fù)。