近年來，科技進步推動了健身運動的數字化和社交化，各種功能豐富的健身應用（如Strava、Polar、咪咕等）深受用戶喜愛。然而，鮮為人知的是，很多熱門健身應用往往不經意間成為敏感信息的“漏點”，甚至給全球政要、軍方以及情報部門帶來重大安全隱患。

馬克龍行蹤被特工“出賣”

近日，據法國《世界報》報道，法國特勤局總統(tǒng)安全小組（GSPR）最近發(fā)生了嚴重的信息安全事故——法國總統(tǒng)馬克龍的安保團隊成員在Strava記錄并公開分享個人鍛煉路線，意外暴露了馬克龍的實時物理位置，馬克龍下榻的酒店、會議室和行程都可以通過這款應用實時追蹤：

馬克龍的行蹤被安保團隊泄漏

該數據泄漏事件不僅威脅到馬克龍的個人隱私，甚至可能被惡意組織用來策劃實施“斬首攻擊”。據The Register報道，美國總統(tǒng)拜登和俄羅斯總統(tǒng)普京也容易受到類似跟蹤威脅。在2018年發(fā)生的健身應用數據泄漏事件中，克里姆林宮安保團隊的巡邏路線在X上被公開發(fā)布：

在Strava熱圖功能中泄漏的克里姆林宮安保團隊巡邏路線

馬克龍行蹤泄密事件在法國引發(fā)了廣泛的安全討論，法國政府呼吁加強對應用隱私設置的管控和員工安全意識培訓，并迅速采取措施，嚴格要求所有安保人員關閉位置共享功能，避免類似事件再次發(fā)生。

美軍早有先例：數據泄露引發(fā)內部整頓

在馬克龍行蹤暴露之前，健身應用導致的政要和軍隊敏感信息泄漏事件已經多次發(fā)生，其關鍵“漏點”是健身APP的熱圖功能。例如，Strava的全球熱圖（Global Heatmap）功能最早于2017年發(fā)布，可聚合展示用戶活動的熱門位置。

這種聚合位置數據的功能本意在于社交，但對于敏感人群來說，卻成為潛在的泄密風險，尤其是對于政府工作人員和軍方成員而言，其活動軌跡可能成為泄露軍事基地和機密信息的風險源。

在Strava熱圖功能中泄漏的美軍基地人員行動路線

據《衛(wèi)報》報道，該功能曾無意間展示了美軍在伊拉克、敘利亞等地的基地位置。早在2018年，美軍便因發(fā)現該健身應用泄露軍基地位置而緊急調整隱私設置（上圖）。據CNN報道，當時美軍內部下達了“暫停使用”命令，以減少數據泄露的風險，并對所有軍事人員進行了隱私保護安全意識培訓。然而，即便如此，隨著健身應用的不斷普及及其功能的豐富，數據隱私和泄密問題始終未能徹底解決。

值得注意的是，雖然“熱圖”功能由用戶控制，可手動設置隱私模式以隱藏數據。然而，許多用戶并不熟悉這一隱私選項的具體設置，導致敏感位置暴露在外。數據安全專家分析指出，這種公開顯示的運動軌跡能夠被敵方用于分析軍隊的活動模式，從而推斷其運作規(guī)律，進而進行針對性攻擊。

在此背景下，Strava采取了“整改”措施，在2021年更新了隱私設置，允許用戶對具體地點進行“隱私遮罩”，即用戶可以設定某些區(qū)域的數據不公開。

健身應用安全漏洞不是個案

莫斯科的全球健身熱圖

健身應用的數據泄露風險具有普遍性，不僅僅是Strava，芬蘭的健身應用Polar同樣因泄露敏感信息而陷入風波。與Strava的熱圖類似，Polar的Explore地圖功能允許用戶公開顯示鍛煉數據，導致大量敏感信息暴露。例如，有記者在公開的Polar地圖數據中發(fā)現了美國國家安全局（NSA）、英國軍情六處（MI6）以及法國DGSE等情報機構員工的活動記錄。此類應用的問題在于，即使用戶設定為“私密”狀態(tài)，應用的開發(fā)者API仍然可以被利用，以簡單的方法獲取用戶的行蹤信息。

更為嚴重的是，記者們通過這類應用發(fā)現了特定情報機構工作人員的家庭住址及其日常出行路線。這種數據泄露引發(fā)了全球政府和軍事機構的強烈關注，因為即便是最低級別的定位數據，一旦被惡意利用，也會為恐怖組織等提供可觀的情報支持。

盡管Polar迅速調整了隱私設置，關閉了部分敏感區(qū)域的公開數據，并限制其API的訪問頻率以此減少信息的暴露，但這一事件表明健身應用安全漏洞對隱私和信息安全的威脅具有普遍性。

隨著健身應用在全球范圍內的普及，其數據泄露問題已不僅僅是個人隱私的問題，而是上升到國家安全層面的挑戰(zhàn)。法國和美國的健身應用泄密事件表明，APP開發(fā)商在設計功能時，往往未能充分考慮到數據的潛在風險。對于Strava、Polar等熱門應用，不僅需要加強數據安全和隱私保護監(jiān)管，不斷完善隱私保護措施，更要加強對用戶的安全意識教育，確保敏感信息不因用戶的疏忽而被泄露。

GoUpSec數據安全專家指出，未來熱門健身應用需要改進隱私設置機制，如加強默認隱私保護功能，或在應用啟用時即刻提醒用戶檢查隱私設置。對于政府和軍事機構，則需要建立健全人員安全意識培訓機制，提高對敏感數據保護的意識，以避免此類事件反復重演。