當心！健身跑步應用悄悄泄露用戶住址

據BleepingComputer 6月11日消息，美國北卡羅來納州立大學羅利分校的研究人員發現 Strava 應用程序的熱圖功能存在隱私風險，可能導致攻擊者識別出用戶的家庭住址。

Strava 是一款流行的跑步伴侶和健身追蹤應用程序，在全球擁有超過 1 億用戶，可幫助人們追蹤心率、活動詳情、GPS 位置等。2018 年，Strava 實施了一項名為“熱圖”的功能，該功能匿名匯總用戶的活動區域，以幫助用戶尋找熱門運動場地及路線。

但研究人員發現，此功能雖然使用了公開可用的熱圖數據，但結合特定用戶的元數據可能會泄露特定用戶行蹤，甚至讓用戶真實身份得到暴露。

研究人員先是搜集了Strava 一個月內阿肯色州、俄亥俄州和北卡羅來納州的熱圖數據，接著用圖像分析來檢測街道旁邊的開始和停止區域，以此表明特定房屋與跟蹤活動的關聯性。

房子附近的活動熱度

在選擇符合標準的熱圖屏幕截圖后，研究人員以能夠識別個人住所地址的縮放級別覆蓋 OpenStreetMaps 圖像，并利用Strava上的搜索功能爬行用戶信息，以找到將某一特定城市作為其所在地的用戶。

覆蓋住所位置

通過比較熱圖中的端點和搜索功能中用戶的個人信息，研究人員可以將熱圖上的高頻活動點與用戶的家庭住址相關聯。公開的 Strava 配置文件包含帶有時間戳和距離的活動數據，從而更容易識別與熱圖數據中的模式相匹配的活動路線，從而縮小人員和區域匹配范圍。

可被利用的攻擊邏輯和數據概述

由于許多 Strava 用戶使用真實姓名注冊，甚至上傳了個人的真實資料照片，因此將身份與家庭地址相關聯是可能的。

在研究中，研究人員將他們的發現與選民登記數據相關聯，發現其預測準確率約為 37.5%，且用戶越活躍，準確率就越高。

加強 Strava 隱私

要想避免暴露個人住所，最理想的的狀態是住在人口稠密的地區，該地區會產生大量 Strava 熱圖數據，這使得幾乎不可能進行針對特定人員的跟蹤。否則，建議用戶在離開家一段距離之后再開啟熱圖功能，或者讓 Strava 為 OpenStreetMaps 中標記的家庭位置周圍幾米的熱圖創建排除項。

研究人員還建議，熱圖應該支持用戶選擇在他們的住所周圍或其他地方設置隱私區域，目前情況下，啟用Strava后熱圖功能默認處于活動狀態，需要用戶自行通過設置選擇退出。

BleepingComputer 已聯系 Strava，要求對研究人員的發現以及軟件供應商是否有任何修復計劃發表評論，但到目前尚未收到回復。