近年來，科技進步推動了健身運動的數(shù)字化和社交化，各種功能豐富的健身應(yīng)用（如Strava、Polar、咪咕等）深受用戶喜愛。然而，鮮為人知的是，很多熱門健身應(yīng)用往往不經(jīng)意間成為敏感信息的“漏點”，甚至給全球政要、軍方以及情報部門帶來重大安全隱患。

馬克龍行蹤被特工“出賣”

近日，據(jù)法國《世界報》報道，法國特勤局總統(tǒng)安全小組（GSPR）最近發(fā)生了嚴(yán)重的信息安全事故——法國總統(tǒng)馬克龍的安保團隊成員在Strava記錄并公開分享個人鍛煉路線，意外暴露了馬克龍的實時物理位置，馬克龍下榻的酒店、會議室和行程都可以通過這款應(yīng)用實時追蹤：

馬克龍的行蹤被安保團隊泄漏

該數(shù)據(jù)泄漏事件不僅威脅到馬克龍的個人隱私，甚至可能被惡意組織用來策劃實施“斬首攻擊”。據(jù)The Register報道，美國總統(tǒng)拜登和俄羅斯總統(tǒng)普京也容易受到類似跟蹤威脅。在2018年發(fā)生的健身應(yīng)用數(shù)據(jù)泄漏事件中，克里姆林宮安保團隊的巡邏路線在X上被公開發(fā)布：

在Strava熱圖功能中泄漏的克里姆林宮安保團隊巡邏路線

馬克龍行蹤泄密事件在法國引發(fā)了廣泛的安全討論，法國政府呼吁加強對應(yīng)用隱私設(shè)置的管控和員工安全意識培訓(xùn)，并迅速采取措施，嚴(yán)格要求所有安保人員關(guān)閉位置共享功能，避免類似事件再次發(fā)生。

美軍早有先例：數(shù)據(jù)泄露引發(fā)內(nèi)部整頓

在馬克龍行蹤暴露之前，健身應(yīng)用導(dǎo)致的政要和軍隊敏感信息泄漏事件已經(jīng)多次發(fā)生，其關(guān)鍵“漏點”是健身APP的熱圖功能。例如，Strava的全球熱圖（Global Heatmap）功能最早于2017年發(fā)布，可聚合展示用戶活動的熱門位置。

這種聚合位置數(shù)據(jù)的功能本意在于社交，但對于敏感人群來說，卻成為潛在的泄密風(fēng)險，尤其是對于政府工作人員和軍方成員而言，其活動軌跡可能成為泄露軍事基地和機密信息的風(fēng)險源。

在Strava熱圖功能中泄漏的美軍基地人員行動路線

據(jù)《衛(wèi)報》報道，該功能曾無意間展示了美軍在伊拉克、敘利亞等地的基地位置。早在2018年，美軍便因發(fā)現(xiàn)該健身應(yīng)用泄露軍基地位置而緊急調(diào)整隱私設(shè)置（上圖）。據(jù)CNN報道，當(dāng)時美軍內(nèi)部下達(dá)了“暫停使用”命令，以減少數(shù)據(jù)泄露的風(fēng)險，并對所有軍事人員進行了隱私保護安全意識培訓(xùn)。然而，即便如此，隨著健身應(yīng)用的不斷普及及其功能的豐富，數(shù)據(jù)隱私和泄密問題始終未能徹底解決。

值得注意的是，雖然“熱圖”功能由用戶控制，可手動設(shè)置隱私模式以隱藏數(shù)據(jù)。然而，許多用戶并不熟悉這一隱私選項的具體設(shè)置，導(dǎo)致敏感位置暴露在外。數(shù)據(jù)安全專家分析指出，這種公開顯示的運動軌跡能夠被敵方用于分析軍隊的活動模式，從而推斷其運作規(guī)律，進而進行針對性攻擊。

在此背景下，Strava采取了“整改”措施，在2021年更新了隱私設(shè)置，允許用戶對具體地點進行“隱私遮罩”，即用戶可以設(shè)定某些區(qū)域的數(shù)據(jù)不公開。

健身應(yīng)用安全漏洞不是個案

莫斯科的全球健身熱圖

健身應(yīng)用的數(shù)據(jù)泄露風(fēng)險具有普遍性，不僅僅是Strava，芬蘭的健身應(yīng)用Polar同樣因泄露敏感信息而陷入風(fēng)波。與Strava的熱圖類似，Polar的Explore地圖功能允許用戶公開顯示鍛煉數(shù)據(jù)，導(dǎo)致大量敏感信息暴露。例如，有記者在公開的Polar地圖數(shù)據(jù)中發(fā)現(xiàn)了美國國家安全局（NSA）、英國軍情六處（MI6）以及法國DGSE等情報機構(gòu)員工的活動記錄。此類應(yīng)用的問題在于，即使用戶設(shè)定為“私密”狀態(tài)，應(yīng)用的開發(fā)者API仍然可以被利用，以簡單的方法獲取用戶的行蹤信息。

更為嚴(yán)重的是，記者們通過這類應(yīng)用發(fā)現(xiàn)了特定情報機構(gòu)工作人員的家庭住址及其日常出行路線。這種數(shù)據(jù)泄露引發(fā)了全球政府和軍事機構(gòu)的強烈關(guān)注，因為即便是最低級別的定位數(shù)據(jù)，一旦被惡意利用，也會為恐怖組織等提供可觀的情報支持。

盡管Polar迅速調(diào)整了隱私設(shè)置，關(guān)閉了部分敏感區(qū)域的公開數(shù)據(jù)，并限制其API的訪問頻率以此減少信息的暴露，但這一事件表明健身應(yīng)用安全漏洞對隱私和信息安全的威脅具有普遍性。

隨著健身應(yīng)用在全球范圍內(nèi)的普及，其數(shù)據(jù)泄露問題已不僅僅是個人隱私的問題，而是上升到國家安全層面的挑戰(zhàn)。法國和美國的健身應(yīng)用泄密事件表明，APP開發(fā)商在設(shè)計功能時，往往未能充分考慮到數(shù)據(jù)的潛在風(fēng)險。對于Strava、Polar等熱門應(yīng)用，不僅需要加強數(shù)據(jù)安全和隱私保護監(jiān)管，不斷完善隱私保護措施，更要加強對用戶的安全意識教育，確保敏感信息不因用戶的疏忽而被泄露。

GoUpSec數(shù)據(jù)安全專家指出，未來熱門健身應(yīng)用需要改進隱私設(shè)置機制，如加強默認(rèn)隱私保護功能，或在應(yīng)用啟用時即刻提醒用戶檢查隱私設(shè)置。對于政府和軍事機構(gòu)，則需要建立健全人員安全意識培訓(xùn)機制，提高對敏感數(shù)據(jù)保護的意識，以避免此類事件反復(fù)重演。