14:55
10/7/2018

W styczniu opisywaliśmy to, co można było ustalić na podstawie mapy generowanej przez aplikację Strava. Aplikacja ujawniała gdzie najczęściej biegają posiadacze różnych sportowych gadżetów do “trackowania” osiągów i lokalizacji (por. tajne obiekty wojskowe z całego świata zaświeciły się na żółto na tej mapie). Mogłoby się wydawać, że wpadka Stravy sprawi, że inne firmy śledzące poczynania sportowców zrobią rachunek sumienia i sprawdzą, czy same nie ujawniają zbyt wielu informacji, które mogłyby zagrażać prywatności użytkowników. Nic bardziej mylnego… Jak pokazuje przypadek aplikacji Polar, twórcy aplikacji nie zawsze uczą się na cudzych błędach.

Polar Flow

Okazuje się, że mapa aktywności (tzw. Polar Flow “Explore”) generowana przez aplikację Polar ujawnia nawet więcej szczegółów niż na temat ofiary można było się dowiedzieć z aplikacji Strava:

    puls
    miejsce treningów
    czasy treningów

Identyfikacja konkretnych żołnierzy polega na namierzeniu na mapie dowolnego obiektu wojskowego, wybrania z klastra aktywności konkretnego sportowca (albo po nazwie użytkownika albo po UID), a potem weryfikacji, gdzie jeszcze ten sportowiec trenuje. Tak można namierzyć dom żolnierza-sportowca (analizując początki lub końce treningów). Jeśli wojak nie dba o odpowiedni OPSEC i w polarowym profilu ustawił swoje prawdziwe imię i nazwisko lub faktyczne zdjęcie, to ustalenie jego innych kont w internecie nie będzie trudne.

Dziennikarze Bellingcata twierdzą, że ustalili w ten sposób m.in dane osobowe:

  • żołnierzy rosyjskich, którzy stacjonują/stacjonowali na Krymie
  • żołnierzy służących w GuantanamoBay
  • ludzi pracujących w NSA i FBI
  • pracowników ambasad wraz z ich prywatnymi adresami

Tu trzeba podkreślić, że Polar jak najbardziej ma opcje prywatności, które w domyślnej konfiguracji nie pozwalały na dowiedzenie się czegoś na temat uczestnika. Ale jeśli — pomimo prywatnego profilu — upublicznił od jeden z treningów, to można było już skorelować jego “pusty, dbający o prywatność profil” niezawierający żadnych odniesień do upublicznionych treningów z informacjami o lokalizacjach, w których trenował. Oto jak problem wyjaśnia Polar w swoim oświadczeniu dotyczącym tego incydentu:

The issue was caused by the fact that the public training session details contained the User Identifier (UID) that could be linked to a particular user. This also applies to sessions belonging to private user profiles. With the help of this identifying UID it was possible to retrieve users public training sessions by altering the search parameters in the browser. By doing this, the training sessions belonging to a private profile could be linked to each other. Training sessions that have not been set to public by the user are not displayed publicly. When there are multiple public training sessions that always start and end in the same location, it is possible to deduce potential points of interests associated with the user. The same method also worked the other way round: one could first find sessions in a specific location and then search for these users’ other training sessions. This was especially unfortunate, for example, for military personnel and intelligence agents.

Jak twierdzą dziennikarze, jeśli teraz któryś z użytkowników zmieni ustawienia prywatności na mocniejsze, to nie obejmą one archiwalnych treningów — te wciąż będą widoczne przez API aplikacji. Treningi można usunąć ręcznie. Ci którzy trenują mniej się ucieszą. Ci którzy mają wiele sesji potrenują palce ;)

Profil w Polar Flow może być całkowicie prywatny:

Prawie prywatny (bo jednak widać zdjęcie i dane użytkownika)

Oraz publiczny, ale bez wskazania historii treningów, co utrudnia namierzenie np. miejsca zamieszkania sportowca:

…przy czym można (było) znaleźć jego upublicznione treningi przez API (to właśnie istota błędu w aplikacji Flow):

Garmin Connect też pozwala na ustalanie miejsc zamieszkania sportowców

Sprawdziliśmy przy okazji, jak wygląda sprawa w Garmin Connect. Na mapie można lokalizować segmenty, a wewnątrz segmentu sprawdzać publiczną listę sportowców, którzy przebywali na tym terenie:

Wybierzmy sobie pierwszego sportowca, Andreya i rzućmy okiem na jego profil:

Jak widać, Andrey nie ukrywa swoich treningów. Po analizie kilku ostatnich aktywności można dokładnie określić gdzie mieszka. Sprawę ułatwia zresztą widoczny na powyższym zrzucie ekranu drugi trening, który pięknie obrysowuje jego dom. Jest to wynik albo biegu na bieżni elektrycznej albo braku wyłączenia urządzenia Polar po powrocie do domu.

Popatrzmy na kolejnego sportowca z segmentu “Młynówka obok poligonu”:

Asia ma lepszy OPSEC, bo jej profil jest prywatny (żeby znaleźć miejsca w których bywa, trzeba by przejrzeć wszystkie segmenty i ich “leaderboardy”).

Na mapach Garmina przejrzeliśmy też obszary wojskowe i “tajne” ośrodki szkoleniowe ABW, CBA i Agencji Wywiadu. W przeciwieństwie do mapy Stravy, która pokazuje wszystkie miejsca po których ktoś kiedykolwiek biegał…

…na mapach Garmina nie znajdziemy żadnych śladów aktywności na tych obszarach. Czyli nikt nie założył tam świadomie “segmentu”.

To nie jest tak wielki problem dla wojskowych, jak się dziennikarzom wydaje

Fakt. Możliwość potwierdzenia, czy Kowalski był na misji w Iraku w 2015 to przydatna rzecz. Ale jeśli Kowalski nie chciał, aby ktoś o tym wiedział, to sam jest sobie winien, że nie zachował w Iraku odpowiedniej ostrożności i korzystał na jego terenie z własnego telefonu komórkowego i innych gadżetów.

O tym, czym grozi brak świadomości, że zdjęcia wykonywane aparatem i wrzucane np. na Twittera zawierają w swoich metadanych lokalizację? Pisaliśmy już o tym w artykule pt. Terrorysta zrobił selfie i został zbombardowany.

Przypomnijmy tu to, co pisaliśmy w artykule dotyczącym wycieku ze Stravy:

W żaden sposób dane ze Polar Flow nie zdradzają lokalizacji tajnych baz wojskowych. Wierzcie nam, że każda osoba mieszkająca w promieniu kilkunastu kilometrów od takiego obiektu doskonale wie, że on tam jest i że stacjonują tam żołnierze (albo inne służby). Często po prostu zdradza to wysokie ogrodzenie, drut kolczasy i tabliczki teren wojskowy. Naprawdę ciężko to przeoczyć. Jak w przypadku obiektu SKW:

W Polsce zresztą tego typu obiekty można prościej namierzyć. Pisaliśmy o tym już 8 lat temu w artykule pt. Wyszukiwarka polskich tajnych baz wojskowych. Do dnia dzisiejszego na Open Street Maps wszystkie obiekty wojskowe są wyraźnie oznaczone czerwoną krechą (“tajne” ośrodki służb też, nawet jak nikt po nich nie biega z fit-opaską czy smartfonem):

Zresztą nawet i bez takiego oznaczenia bardzo łatwo można lokalizować bazy wojskowe — wystarczy trochę pomyśleć. Na tym blogu znajdziecie przydatne wskazówki od rasowego szukacza tajnych baz.

Jeśli na aferę spojrzymy od strony terrorysty — bo niektórzy podnoszą, że urządzenia Polara ujawniały “rutynę wojskowych” — to informacje z map Polar FLow nie będą nam do niczego potrzebne. Skoro żołnierze biegają często, można ich po prostu poobserwować. Okiem. Do internetu niepodłączonym. Takie oko ma jedną przewagę nad fit-opaskami i telefonami. Zauważy też żołnierzy, którzy z nich nie korzystają.

Nie tylko Polar, Garmin czy Strava mogą Cię zdeanonimizować. Facebook, Tinder, Endomondo, Runkeeper itp. też

Od dawna na naszych szkoleniach poświęconych urządzeniam mobilnym oraz prywatności pokazujemy przykład, jak łatwo można namierzyć czyjś adres zamieszkania poprzez Facebooka, nawet jeśli nie ujawnił go w profilu i nie czekinuje się w swoim domu oraz nie wrzuca zdjęć z tej okolicy. Oto slajd z naszego wykładu pt. “Jak nie dać się zhackować“:

Tak, nie tylko Polar, Garmin czy Strava upublicznia “mapki” z biegania, czy rowerowych podróży. Takich aplikacji są dziesiątki. Runkeeper, Endomondo. Wcale też nie trzeba przeglądać godzinami czyjegoś profilu, aby na nie trafić na czyimś koncie na Facebooku, wystarczy jeden prosty trick…

Jeśli chcesz dowiedzieć się jak lepiej chronić swoją prywatność oraz jak zabezpieczyć swój komputer i smartfon przed atakami i swoją prywatność przed naruszeniem, to zapraszamy 11 lipca do Wrocławia. Tam o godz. 18:00 odbędzie się nasz wykład pt. Jak nie dać się zhackować i zostały na niego ostatnie wejściówki. Rezerwacji miejsca można dokonać tutaj.

Lokalizowanie osób w pobliżu umie też natywnie sam Facebook, Snapchat i szereg innych aplikacji, dlatego…

Biegam z fit-opaską albo telefonem — co robić, jak żyć?

…przede wszystkim przejrzyj ustawienia dotyczące lokalizacji w swoim koncie Google (zrobisz to tutaj) oraz obowiązkowo na Androidzie lub iOS. Na iPhone bardzo ładnie widać, jaka aplikacja i kiedy może korzystać z usług lokalizacji. Jeśli którejś nie rozpoznajesz lub uważasz, że ma zbyt szeroką możliwość śledzenia Twoich ruchów — po prostu zabierz jej uprawnienia.

Przejrzyj ustawienia prywatności swojej aplikacji do biegania. (I Snapchata i Facebooka i każdej innej, której pozwoliłeś na dostęp do usług lokalizacji). Jeśli chcesz mieć statystyki szybkości, różnicy wysokości i nagraną trasę — nie ma opcji, usługi lokalizacji na Twoim telefonie będą musiały zostać włączone dla danej aplikacji. Twórcy aplikacji poznają lokalizację startu i końca Twojego “ćwiczenia”. Nie oznacza to jednak, że musi ją poznać cały świat.

We wszystkich aplikacjach, z których korzystali nasi redaktorzy znajdują się opcje pozwalające na zachowanie historii “ćwiczeń” dla siebie. Pamiętaj tylko, że nawet jeśli aktywujesz taką ochronę, to nie uchroni Cię ona przed ujawnieniem tego typu danych w przypadku włamania na serwery producenta Twojej fit-opaski albo apliakcji, którą wykorzystujesz jako sportowy tracker. Tu idealnie pasuje jeszcze jeden slajd z naszego wykładu:

Podsumowujac — żadna aplikacja nie ujawni, tego czego nie robisz. A jak coś robisz i masz ze sobą telefon albo inny elektroniczny gadżet z GPS-em, to licz się z tym, że Twoja lokalizacja może być znana nie tylko Tobie.

Przeczytaj także:

6 komentarzy

Dodaj komentarz
  1. “Podsumowujac — żadna aplikacja nie ujawni, tego czego nie robisz.” – idealny argument aby pozostać w piwnicy i nie wykonywać żadnych aktywności fizycznych.

    • Można by pomyśleć, że przed pojawieniem się fit-opasek i itp. wszyscy pozostawali w piwnicy i nie wykonywali żadnej aktywności fizycznej.

  2. A po co citymapper ma “always”?

  3. Podajcie dokładny adres do tej mapki.

  4. Jak widać, Andrey nie ukrywa swoich treningów. Po analizie kilku ostatnich aktywności można dokładnie określić gdzie mieszka. Sprawę ułatwia zresztą widoczny na powyższym zrzucie ekranu drugi trening, który pięknie obrysowuje jego dom. Jest to wynik albo biegu na bieżni elektrycznej albo braku wyłączenia urządzenia Polar po powrocie do domu.

    czy mieliscie na mysli sprzet Garmina czy Polara. Mozna te wszystkie apki i urzadzenia łaczyc i przesyłac dane miedzy nimi. Tutaj pewnie tez łatwo o niedopatrzenie i publikacje danych “przez przypadek”. Fajnie jakbyscie skomentowali to również.

  5. W programie Sports Tracker tez można podejrzeć trasy, nie wiem tylko jak to wygląda w przypadku prywatnych profili

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.