Os pesquisadores da North Carolina State University Raleigh anunciaram que o recurso heatmap do Strava tem um risco de privacidade.
O Strava é um popular aplicativo de acompanhamento de corrida e fitness com mais de 100 milhões de usuários em todo o mundo, ajudando as pessoas a monitorar sua frequência cardíaca, detalhes da atividade, localização GPS e muito mais.
Em 2018, o Strava implementou um recurso chamado “heatmap” (mapa de calor) que agrega anonimamente a atividade dos usuários (corredores, ciclistas, caminhantes) para ajudar os usuários a encontrar trilhas ou pontos de acesso para exercícios, encontrar pessoas com interesses semelhantes e realizar suas sessões em locais mais movimentados e seguros.
No entanto, como os pesquisadores descobriram, esse recurso abre a possibilidade de rastrear e anonimizar usuários usando dados de mapa de calor disponíveis publicamente combinados com metadados específicos do usuário.
Recurso heatmap do Strava tem um risco de privacidade
Sim. Pesquisadores da North Carolina State University Raleigh descobriram um risco de privacidade no recurso de mapa de calor do aplicativo Strava que pode levar à identificação dos endereços residenciais dos usuários.
O primeiro passo dado pelos pesquisadores foi coletar dados disponíveis publicamente através do mapa de calor do Strava durante um mês para os estados de Arkansas, Ohio e Carolina do Norte.
Em seguida, eles usaram a análise de imagem para detectar áreas de partida/parada próximas às ruas, indicando que uma casa específica está vinculada a uma fonte de atividade rastreada.
Depois de selecionar as capturas de tela do mapa de calor que correspondiam aos critérios, a equipe sobrepôs as imagens do OpenStreetMaps em níveis de zoom que ajudaram a identificar os endereços residenciais individuais.
A próxima etapa foi realizar o rastreamento do usuário aproveitando um recurso de pesquisa mal documentado no Strava para localizar usuários que registraram uma cidade específica como sua localização.
Ao comparar os pontos finais do mapa de calor e os dados pessoais de um usuário da função de pesquisa, os pesquisadores puderam correlacionar os pontos de alta atividade no mapa de calor e os endereços residenciais dos usuários.
Os perfis públicos do Strava contêm dados de atividades com marcações de tempo e distâncias, facilitando a identificação de possíveis rotas que correspondam aos padrões dos dados do mapa de calor, reduzindo as correspondências de pessoas e áreas.
Como muitos usuários do Strava se registram com seus nomes reais e até mesmo carregam fotos de perfil de si mesmos, é possível correlacionar identidades com locais residenciais.
Para sua pesquisa, os cientistas correlacionaram suas descobertas com dados de registro de eleitores e descobriram que suas previsões eram aproximadamente 37,5% precisas.
“Um usuário mais ativo produz mais calor no mapa de calor do Strava e, portanto, é mais facilmente identificado. A Figura 7 demonstra a probabilidade de uma correspondência com base no número de atividades postadas”, explicam os pesquisadores.
“Para o restante da análise, assumiremos que o alvo do ataque publica um número médio de atividades, que para nosso conjunto de dados é de 308 atividades.”
“Com o limite de 100 metros e a vítima registrando 308 atividades, a probabilidade de ser descoberta é de 37,5%.”
Como melhorar a privacidade do Strava
A primeira mitigação passiva é viver em uma área densamente povoada que recebe grandes quantidades de dados do mapa de calor do Strava, tornando quase impossível o rastreamento específico de uma pessoa.
Outra maneira de mitigar esse problema de privacidade seria iniciar o rastreamento depois que você sair de casa ou para o Strava criar uma exclusão para mapa de calor por alguns metros em torno dos locais residenciais marcados no OpenStreetMaps.
Os pesquisadores também propõem que o mapa de calor ofereça suporte a uma opção para os usuários definirem zonas de privacidade em suas casas ou em outros lugares também.
O recurso de mapa de calor está ativo por padrão em todos os aplicativos Strava, mas os usuários podem desativá-lo nas configurações.
Em relação às configurações de perfil, aqueles preocupados com a privacidade devem manter seus perfis de usuário no aplicativo Strava privados, o que não exporia nomes e dados de atividades.
A BleepingComputer entrou em contato com a Strava solicitando um comentário sobre as descobertas do artigo e se o fornecedor do software tem algum plano de correção, mas não recebemos uma resposta até o momento da publicação.