近年来,科技进步推动了健身运动的数字化和社交化,各种功能丰富的健身应用(如Strava、Polar、咪咕等)深受用户喜爱。然而,鲜为人知的是,很多热门健身应用往往不经意间成为敏感信息的“漏点”,甚至给全球政要、军方以及情报部门带来重大安全隐患。
马克龙行踪被特工“出卖”
近日,据法国《世界报》报道,法国特勤局总统安全小组(GSPR)最近发生了严重的信息安全事故——法国总统马克龙的安保团队成员在Strava记录并公开分享个人锻炼路线,意外暴露了马克龙的实时物理位置,马克龙下榻的酒店、会议室和行程都可以通过这款应用实时追踪:
马克龙的行踪被安保团队泄漏
该数据泄漏事件不仅威胁到马克龙的个人隐私,甚至可能被恶意组织用来策划实施“斩首攻击”。据The Register报道,美国总统拜登和俄罗斯总统普京也容易受到类似跟踪威胁。在2018年发生的健身应用数据泄漏事件中,克里姆林宫安保团队的巡逻路线在X上被公开发布:
在Strava热图功能中泄漏的克里姆林宫安保团队巡逻路线
马克龙行踪泄密事件在法国引发了广泛的安全讨论,法国政府呼吁加强对应用隐私设置的管控和员工安全意识培训,并迅速采取措施,严格要求所有安保人员关闭位置共享功能,避免类似事件再次发生。
美军早有先例:数据泄露引发内部整顿
在马克龙行踪暴露之前,健身应用导致的政要和军队敏感信息泄漏事件已经多次发生,其关键“漏点”是健身APP的热图功能。例如,Strava的全球热图(Global Heatmap)功能最早于2017年发布,可聚合展示用户活动的热门位置。
这种聚合位置数据的功能本意在于社交,但对于敏感人群来说,却成为潜在的泄密风险,尤其是对于政府工作人员和军方成员而言,其活动轨迹可能成为泄露军事基地和机密信息的风险源。
在Strava热图功能中泄漏的美军基地人员行动路线
据《卫报》报道,该功能曾无意间展示了美军在伊拉克、叙利亚等地的基地位置。早在2018年,美军便因发现该健身应用泄露军基地位置而紧急调整隐私设置(上图)。据CNN报道,当时美军内部下达了“暂停使用”命令,以减少数据泄露的风险,并对所有军事人员进行了隐私保护安全意识培训。然而,即便如此,随着健身应用的不断普及及其功能的丰富,数据隐私和泄密问题始终未能彻底解决。
值得注意的是,虽然“热图”功能由用户控制,可手动设置隐私模式以隐藏数据。然而,许多用户并不熟悉这一隐私选项的具体设置,导致敏感位置暴露在外。数据安全专家分析指出,这种公开显示的运动轨迹能够被敌方用于分析军队的活动模式,从而推断其运作规律,进而进行针对性攻击。
在此背景下,Strava采取了“整改”措施,在2021年更新了隐私设置,允许用户对具体地点进行“隐私遮罩”,即用户可以设定某些区域的数据不公开。
健身应用安全漏洞不是个案
莫斯科的全球健身热图
健身应用的数据泄露风险具有普遍性,不仅仅是Strava,芬兰的健身应用Polar同样因泄露敏感信息而陷入风波。与Strava的热图类似,Polar的Explore地图功能允许用户公开显示锻炼数据,导致大量敏感信息暴露。例如,有记者在公开的Polar地图数据中发现了美国国家安全局(NSA)、英国军情六处(MI6)以及法国DGSE等情报机构员工的活动记录。此类应用的问题在于,即使用户设定为“私密”状态,应用的开发者API仍然可以被利用,以简单的方法获取用户的行踪信息。
更为严重的是,记者们通过这类应用发现了特定情报机构工作人员的家庭住址及其日常出行路线。这种数据泄露引发了全球政府和军事机构的强烈关注,因为即便是最低级别的定位数据,一旦被恶意利用,也会为恐怖组织等提供可观的情报支持。
尽管Polar迅速调整了隐私设置,关闭了部分敏感区域的公开数据,并限制其API的访问频率以此减少信息的暴露,但这一事件表明健身应用安全漏洞对隐私和信息安全的威胁具有普遍性。
随着健身应用在全球范围内的普及,其数据泄露问题已不仅仅是个人隐私的问题,而是上升到国家安全层面的挑战。法国和美国的健身应用泄密事件表明,APP开发商在设计功能时,往往未能充分考虑到数据的潜在风险。对于Strava、Polar等热门应用,不仅需要加强数据安全和隐私保护监管,不断完善隐私保护措施,更要加强对用户的安全意识教育,确保敏感信息不因用户的疏忽而被泄露。
GoUpSec数据安全专家指出,未来热门健身应用需要改进隐私设置机制,如加强默认隐私保护功能,或在应用启用时即刻提醒用户检查隐私设置。对于政府和军事机构,则需要建立健全人员安全意识培训机制,提高对敏感数据保护的意识,以避免此类事件反复重演。