神秘特工利用跑步APP監視以色列軍人和絕密基地

• 通過在跑步APP上傳軍事基地附近偽造的跑步“路段”，攻擊者能夠密切關注在基地內鍛煉的個人；
• 某個位置顯示為“馬薩諸塞州波士頓”的匿名用戶，在以色列的眾多軍事機構內設置了一系列偽造路段，包括情報機構前哨及被認為與核計劃有關的絕密基地設施；
• 記者發現一位以色列核計劃和絕密基地相關用戶的行蹤已被泄露。

6月22日消息，身份不明的窺探者一直在利用健身追蹤應用Strava監視以色列軍方人員，跟蹤他們在全國各處秘密基地的行蹤，甚至在他們因公出差或前往世界各地度假時仍然持續窺探。

通過在軍事基地內設置偽造的跑步“路段”，此次監視行動（目前尚未明確歸因）能夠密切關注在基地內鍛煉的個人，即使賬戶設置了最高級別隱私選項也無法回避。

據英國媒體《衛報》了解，一位被認為與以色列核計劃相關、在絕密基地的用戶，被追蹤到在其他軍事基地和某個外國。

此次監視活動由以色列開源情報機構FakeReporter發現。該機構執行董事Achiya Schatz表示，“我們發現這一安全問題后，立即聯系了以色列安全部隊。在獲得安全部隊批準后，FakeReporter聯系了Strava，對方組建了一支高級團隊以解決這個問題。”

Strava的跟蹤工具允許任意用戶自由劃定跑步或騎行“路段”，并針對特定路段開展競速，例如在熱門騎行路線組織長距離上坡賽或園區單圈賽。用戶可以向Strava應用上傳并定義自己的路段，也可以直接導入來自其他產品或服務的GPS記錄。

但Strava無法追蹤這些GPS上傳是否合法，因此沒法識別哪些上傳為真人實地劃定，而哪些路段上傳者自己根本沒去過。事實上，部分上傳路段記錄顯然是人為偽造，其中高達數百公里的平均時速、不自然的行進直線和瞬間垂直躍上懸崖等線索都是最好的證據。

這些偽造路段可被用于競速作弊，但至少危害不大。而其中一些似乎別有邪惡目的，某個位置顯示為“馬薩諸塞州波士頓”的匿名用戶，在以色列的眾多軍事機構內設置了一系列偽造路段，包括該國情報機構的前哨，以及被認為與核計劃有關的絕密基地設施。

Schatz認為，“借助這種上傳設計文件的功能，敵對分子開始利用流行應用程序，窺探全球各地用戶的個人信息，這也標志著損害公民及國家安全的惡意手段再次邁出驚人的一步。”

這種偽造路段的行為還繞過了Strava的隱私設置。用戶可以將自己的個人資料設置為只對“關注者”可見，借此防止自己的路線被他人窺探。但除非主動對每一次跑步都單獨設置，否則用戶的頭像、名字和首字母仍將顯示在相應的路段上。于是乎，當地圖上散布了足夠多的路段后，該用戶的行動軌跡仍將暴露：例如，可以看到某用戶曾在一次公開路段競速中勝出，隨后又在各安全軍事設施內跑步。

健身服務公司Strava在一份聲明中表示，“我們非常重視隱私問題。以色列機構FakeReporter已經告知我們關于特定用戶賬戶的安全問題，我們也已經采取了必要的糾正措施。”

“我們就Strava的信息分享功能提供了說明指引，也允許每位運動者根據自己的情況做出隱私選擇。關于我們隱私控制機制的更多細節，請訪問隱私中心。我們建議每位運動者都能花一點時間，保證自己在Strava中獲得與預期相符的體驗。”

這一發現不禁讓人想到2018年的另一起丑聞。

當時Strava的一項新功能，在全球健身追蹤平臺上發布了所有運動的可視化標記。熱力圖顯示出各地流行的跑步、自行車騎行與游泳路線。Strava在公告中強調，這項功能可以幫助用戶輕松找到夏威夷鐵人三項賽路線等重要地點。但其中也列出了某些不該被公開的內容：阿富汗赫爾曼德省多處軍事基地的位置，布局清晰可見，英國福克蘭群島芒特普萊森特皇家空軍基地也因附近的一處戶外游泳點而進入公眾視野。該地圖甚至記錄了一位孤獨的自行車騎手在內華達州51區的行進路線。

面對質疑，Strava當時的態度是建議軍方用戶退出可視化功能，并辯解稱這些信息是由上傳用戶自己公開的。而此次曝出的新問題中包含的細節還遠超當年：一名美國空軍服役人員在前往吉布提旅行時被追蹤到，她在那里進行7公里環跑時，曾前往2016年調入的某德國空軍基地。

參考資料：

theguardian.com