據(jù)BleepingComputer 6月11日消息，美國北卡羅來納州立大學羅利分校的研究人員發(fā)現(xiàn) Strava 應用程序的熱圖功能存在隱私風險，可能導致攻擊者識別出用戶的家庭住址。

Strava 是一款流行的跑步伴侶和健身追蹤應用程序，在全球擁有超過 1 億用戶，可幫助人們追蹤心率、活動詳情、GPS 位置等。2018 年，Strava 實施了一項名為“熱圖”的功能，該功能匿名匯總用戶的活動區(qū)域，以幫助用戶尋找熱門運動場地及路線。

但研究人員發(fā)現(xiàn)，此功能雖然使用了公開可用的熱圖數(shù)據(jù)，但結(jié)合特定用戶的元數(shù)據(jù)可能會泄露特定用戶行蹤，甚至讓用戶真實身份得到暴露。

研究人員先是搜集了Strava 一個月內(nèi)阿肯色州、俄亥俄州和北卡羅來納州的熱圖數(shù)據(jù)，接著用圖像分析來檢測街道旁邊的開始和停止區(qū)域，以此表明特定房屋與跟蹤活動的關聯(lián)性。

房子附近的活動熱度

在選擇符合標準的熱圖屏幕截圖后，研究人員以能夠識別個人住所地址的縮放級別覆蓋 OpenStreetMaps 圖像，并利用Strava上的搜索功能爬行用戶信息，以找到將某一特定城市作為其所在地的用戶。

覆蓋住所位置

通過比較熱圖中的端點和搜索功能中用戶的個人信息，研究人員可以將熱圖上的高頻活動點與用戶的家庭住址相關聯(lián)。公開的 Strava 配置文件包含帶有時間戳和距離的活動數(shù)據(jù)，從而更容易識別與熱圖數(shù)據(jù)中的模式相匹配的活動路線，從而縮小人員和區(qū)域匹配范圍。

可被利用的攻擊邏輯和數(shù)據(jù)概述

由于許多 Strava 用戶使用真實姓名注冊，甚至上傳了個人的真實資料照片，因此將身份與家庭地址相關聯(lián)是可能的。

在研究中，研究人員將他們的發(fā)現(xiàn)與選民登記數(shù)據(jù)相關聯(lián)，發(fā)現(xiàn)其預測準確率約為 37.5%，且用戶越活躍，準確率就越高。

加強 Strava 隱私

要想避免暴露個人住所，最理想的的狀態(tài)是住在人口稠密的地區(qū)，該地區(qū)會產(chǎn)生大量 Strava 熱圖數(shù)據(jù)，這使得幾乎不可能進行針對特定人員的跟蹤。否則，建議用戶在離開家一段距離之后再開啟熱圖功能，或者讓 Strava 為 OpenStreetMaps 中標記的家庭位置周圍幾米的熱圖創(chuàng)建排除項。

研究人員還建議，熱圖應該支持用戶選擇在他們的住所周圍或其他地方設置隱私區(qū)域，目前情況下，啟用Strava后熱圖功能默認處于活動狀態(tài)，需要用戶自行通過設置選擇退出。

BleepingComputer 已聯(lián)系 Strava，要求對研究人員的發(fā)現(xiàn)以及軟件供應商是否有任何修復計劃發(fā)表評論，但到目前尚未收到回復。