Jak donosi „The Guardian” niezidentyfikowana grupa korzystała ze Stravy do szpiegowania członków izraelskiej armii. Dzięki wykorzystaniu aplikacji szpiedzy mogli śledzić ruchy personelu wojskowego między bazami w kraju oraz w trakcie operacji zagranicznych.
O potencjalnym naruszeniu zasad bezpieczeństwa poinformowała wojsko grupa FakeReporter zajmująca się przeciwdziałaniu dezinformacji w Izraelu. Jej dyrektor Achiya Schatz powiedział:
– Skontaktowaliśmy się z izraelskimi siłami zbrojnymi, jak tylko zorientowaliśmy się, że doszło do naruszenia zasad bezpieczeństwa. Po tym, jak otrzymaliśmy zgodę od wojskowych, o naszym odkryciu poinformowaliśmy Stravę. Oni od razu zorganizowali zespół, który zajął się tą sprawą.
W jaki sposób szpiedzy wykorzystali Stravę?
Strava umożliwia definiowanie tzw. segmentów, czyli pewnych odcinków tras rowerowych czy biegowych. Najczęściej są to trasy, które użytkownicy pokonują regularnie. Aplikacja umożliwia użytkownikom porównywanie czasów w danym segmencie i tworzy ranking najlepszych rezultatów. Na tym etapie ujawniane są wrażliwe dane osobowe użytkownika: zdjęcie, imię oraz inicjały.
Segmenty można definiować w Stravie, ale można również je pobierać z zewnętrznych źródeł przez logi GPS. Ich „legalności” Strava nie weryfikuje. W ten sposób można zdefiniować segment w dowolnym miejscu na świecie. Do jego utworzenia nie jest konieczna fizyczna obecność osoby w danym miejscu.
Te warunki wykorzystali szpiedzy. W swojej operacji wgrali wiele fałszywych segmentów. Umieścili je w placówkach wojskowych w Izraelu, w tym w placówkach agencji wywiadowczych i ściśle strzeżonych bazach, również tych, w których prowadzone są prace nad programem nuklearnym kraju. Jeśli trenujący wojskowi nie mieli odpowiednio skonfigurowanych ustawień prywatności i chcieli rywalizować z kimś, kto jawił się na Stravie jako Ez Shl z Bostonu, ich dane można było przechwycić w rankingu segmentu. Następnie szpiedzy mogli monitorować przemieszczanie się takiej osoby do kolejnych miejsc.
To nie pierwszy tego typu problem ze Stravą
W 2018 roku doszło do podobnego zdarzenia. Wprowadzona w tamtym czasie aktualizacja Stravy pozwalała na wizualizację pełnej aktywności użytkowników aplikacji w postaci tzw. „map ciepła”. Wówczas przypadkowo ujawniono trasy biegowe/rowerowe/pływackie w bazach wojskowych należących do USA (np. obszar 51 w Nevadzie) i UK, a także w innych obiektach znajdujących się na terenie kraju, jak i poza jego granicami (np. baza w prowincji Helmand w Afganistanie).
Kogo winić w tej sytuacji?
Przedstawiciele Stravy utrzymują, że dzięki właściwym ustawieniom prywatności w obu przypadkach można było uniknąć naruszenia zasad bezpieczeństwa.
– Zapewniamy łatwo dostępne informacje dotyczące tego, w jaki sposób informacje są udostępniane w serwisie Strava, a także dajemy każdemu sportowcowi możliwość dokonywania własnych wyborów dotyczących prywatności – głosi komunikat przedstawicieli Stravy. W dalszej części nawołują oni do tego, aby każdy użytkownik aplikacji koniecznie zapoznał się z zasadami bezpieczeństwa i upewnił się, że ustawienia prywatności odzwierciedlają jego oczekiwania.
Wygląda jednak na to, że dzięki fałszywym segmentom szpiegom udało się obejść niektóre zabezpieczenia prywatności. W efekcie ujawniono dane kont ze statusem „prywatne”.
FakeReporter demonstrates how confusing privacy settings and unsafe use of Strava by security personnel created a loophole exploited by suspicious actors. pic.twitter.com/23t5JE4O3f
— פייק ריפורטר | FakeReporter (@FakeReporter) June 21, 2022
Jeśli chodzi o personel wojskowy, ciężko nie odnieść wrażenia, że w tym przypadku nie zadziałały odpowiednio procedury bezpieczeństwa/kontrwywiadowcze. Wygląda na to, że na czas nie dostrzeżono zagrożeń mogących płynąć z korzystania przez personel wojskowy z aplikacji służącej do śledzenia aktywności fizycznej.
