Strava scheint seit 2018 nicht viel über den Datenschutz der Nutzer gelernt zu haben

Der Zugriff auf Ihre Standortdaten ist wohl eine der sensibelsten Berechtigungen, die eine Android-App anfordern kann. Dies wird umso wichtiger, wenn die App Ihren Standort ständig oder im Hintergrund verfolgt, wie bei Fitness-Apps. Einer der besten Fitness-Apps, Strava, sind diese standortbezogenen Sicherheitswarnungen nicht fremd, aber ein aktuelles Forschungspapier zeigt, dass die alarmierende Chance besteht, dass Strava öffentlich verfügbar ist, die anonymisierten Heatmap-Daten Sie jedoch austricksen können.

Datenschutzbedenken hinsichtlich der Erfassung von Standortdaten durch Strava gehen auf das Jahr 2018 zurück, als die Heatmaps der App versehentlich die Standorte mehrerer geheimer Militärstützpunkte enthüllten, darunter einige in den Vereinigten Staaten. Falls Sie es nicht wissen: Strava ist eine soziale Fitness-App mit über 100 Millionen Nutzern, in der man seine Fitnessaktivitäten und -statistiken mit anderen teilen kann, um sie zu ermutigen und zu konkurrieren. Die öffentlich zugängliche Heatmap-Funktion zeigt die von jedem Strava-Nutzer zurückgelegte Route inklusive Zeitstempel als Lichtlinie auf einer Karte an.

Obwohl die Datenerfassung anonymisiert ist, aktuelle Suche Laut der Abteilung für Informatik der North Carolina State University können diese Daten anonymisiert werden und die Standorte, zurückgelegten Routen und Identitäten von Strava-Benutzern mit einer Genauigkeit von bis zu 37,5 % offenlegen (via). Schließen Sie die Watt an). Obwohl Strava Aktivitätsdaten von privaten Profilen in seiner Datenbank verbirgt, sind sie dennoch in der Heatmap enthalten, was bedeutet, dass sowohl öffentliche als auch private Profile gleichermaßen einfach gedoxxt werden können.

Mithilfe dieser Heatmap als Datenquelle konnten die Forscher die Start- und Endorte von Aktivitäten identifizieren und so die potenziellen Wohnorte des Strava-Benutzers aufdecken. In Kombination mit Daten von OpenStreetMaps und öffentlichen Aufzeichnungen wie aktuellen Wählerregistrierungen besteht eine gute Chance, dass Strava Ihren Namen und Ihre Privatadresse an einen Betrüger weitergibt. Darüber hinaus stellten die Forscher fest, dass der gesamte Prozess des Crawlens öffentlicher Datenbanken und des Auffindens von Häusern leicht automatisiert werden kann, um einen solchen Angriff möglicherweise auszuweiten.

Natürlich wäre es in überfüllten Vororten schwieriger, Menschen und ihre Routen zu identifizieren, aber es wird sehr einfach, wenn Städte nur wenige Strava-Nutzer haben. Auch wenn sich das so anhört, als hätte sich seit dem Vorfall von 2018 nichts geändert, stellt sich heraus, dass Regierungen die Verwendung von Fitness-Apps in Militäreinrichtungen verboten haben, Strava jedoch keine Maßnahmen ergriffen hat. Die App verbirgt nur die Daten für das erste und letzte Standortaktivitätssegment in der Trainingszusammenfassung.

Glücklicherweise schlagen die Forscher aus North Carolina Änderungen vor, die App-Entwickler vornehmen können. Einerseits kann Strava die Funktionalität versteckter Bereiche einzelner Aktivitäten auf die Heatmap erweitern. Außerdem können Sperrzonen erstellt werden, sodass Benutzer auf Heatmaps nicht auf Straßen angezeigt werden, die ihre Häuser mit Hauptstraßen verbinden. Es lohnt sich wahrscheinlich nicht, das Risiko einzugehen, dass Ihre Gesundheitsdaten im Internet gefälscht werden, und wenn man bedenkt, dass Strava sich seit 2018 – oder auch nicht – darum bemüht hat, das Problem anzugehen, wird sich möglicherweise nichts ändern.