导语:关于健身应用暴露隐私的事情已经不是什么新鲜事了,但对于以安全为生命准线的军事来说,一旦信息泄露,就会给国家造成不可估量的损失。

健身应用Polar Flow可暴露情报和军事人员位置

关于健身应用暴露隐私的事情已经不是什么新鲜事了,但对于以安全为生命准线的军事来说,一旦信息泄露,就会给国家造成不可估量的损失。因此,其关注度也要高于一般的行业。

近日,荷兰新闻网站De Correspondent和英国民间调查网站Bellingcat调查发现,健身应用程序Polar Flow公布的数百万用户健身活动数据,无意中暴露了69个国家的情报和军事人员位置,根据这些位置信息,人们可以轻而易的对某个国家的情报部门、军事基地和机场、甚至核武器库等进行定位。

这些泄漏的位置数据清晰的显示了情报和军事人员的家庭住址,即使他们在应用中把个人资料被设置为隐私也无济于事。

为什么军事信息经常会从某些应用中被泄漏出来?

因为情报和军事人员也像一般人一样有生活的时间,他们也喜欢一些比较流行的东西。除了军事秘密外,Polar Flow收集信息的详细程度足以给个人带来威胁。研究人员发现有些细节竟然已经精确到用户的家门口了,甚至能够为沿某条线路出行的用户提供画像。比如,去年健身追踪应用Strava也曾暴露过军事人员的详细信息,当时就有人据此挖出了美军军事基地的信息。

应用程序Polar Flow是由其同名公司Polar(一家位于纽约的芬兰健身追踪巨头Polar)开发的,该程序允许任何人通过修改浏览器的网址,即可在几年内访问用户的健身活动信息,不过这也给了攻击者(包括恶意攻击者及外国情报机构)访问用户的健身活动记录的机会。

数据泄漏过程

对于将活动跟踪记录设置为公开的大多数用户,在Polar的所谓“探索”地图上发布他们的锻炼过程是一项功能而非隐私问题。但即使将个人资料设置为隐私,用户的健身活动也可以显示一个人的生活位置。

如果在政府或军事基地工作的人位置暴露,就很可能成为国家安全风险。之所以会出现如此幼稚的泄漏事件,是因为公司都将隐私责任交给了用户,让他们自己进行各种设置,而默认情况下很多功能都是打开的,并且许多功能都是隐藏的,用户也不知道怎么设置。最重要的是,很多人并不知道他们的信息是可搜索的,甚至是可以访问的。

虽然许多政府和军事设施都广为人知,但其员工的身份并非每个人都知道。但现在,研究人员通过追踪健身数据,发现Polar的API可能会被不恰当的查询,以检索任何用户的健身活动,例如每次跑步和骑自行车的记录。这个健身应用程序可以让任何人找到士兵和秘密情报人员的姓名和地址。

军事和秘密情报人员的姓名和地址是怎么被发现的? 

Bellingcat的报告显示,相比Garmin、Strava等应用程序,Polar Flow提供的数据更全面(涵盖用户自2014年以来上传到平台的所有内容),访问方式也更简单,更容易发生数据泄露。在任何敏感的政府场所或军事设施上都有两对坐标,可以找到跟踪其健身活动的人员的姓名,这些人员的历史可以追溯到2014年。

研究人员发现,目前已有6400名被认为是在敏感地点锻炼的用户,这些地点包括国家安全局,白宫,伦敦军情六处和古巴的关塔那摩湾拘留中心,以及在外国军事基地工作的人员。

另外,研究人员还发现了外国情报部门的官员和情报人员的姓名,如切尔滕纳姆(英国英格兰格洛斯特郡的自治市镇)的GCHQ(英国间谍机构政府通信总部),巴黎的法国DGSE(法国对外安全局)和莫斯科的俄罗斯GRU(格勒乌是俄罗斯联邦最大也是最为秘密的情报机构)。

研究人员还发现了核储存设施,导弹发射井和监狱的工作人员。

从泄漏的数据中,研究人员不仅可以确切地看到用户在哪里锻炼,如果他们一离开家就开始或停止了他们的健身追踪,很容易确切地指出用户居住的地方。由于随便可以对这些数据进行访问,再加上易于使用的用户ID号码,研究人员还发现他们可以欺骗API检索私人档案中的健身追踪数据。

健身应用Polar Flow可暴露情报和军事人员位置

阿富汗巴格拉姆机场

健身应用Polar Flow可暴露情报和军事人员位置

伦敦的英国秘密情报局(MI6)

在白宫这样人口密集的地区,追踪附近健身的普通人数量较多,这就增加了数据中不必要的噪音,但如果是军营和政府基地,则数据监测的效果就好多了。

De Correspondent在另一份报告中解释了跟踪一位Polar用户是多么容易,该用户被认为是荷兰国家情报局的一名官员,研究人员甚至找到了他的家庭住址。但在一些国家,如荷兰,揭露情报人员的身份是非法的。

另外,研究人员跟踪到了英国国家安全局的一名用户,当用户离开他在弗吉尼亚附近的房子后,他就开始进行锻炼,通过公开记录,研究人员确认了他的名字,以及他作为高级军官的角色。还有一名美国国家安全局工作人员,被发现在关塔那摩湾拘留中心附近进行锻炼。

De Corresponden还发现了几名外国军事和情报人员在美国敏感设施附近的健康跟踪数据,这表明他们正在刺探情报。这些数据可以为人们的生活,居住的地方,去过的地方构建一幅完整的画像,并开辟出更多关于他们是谁以及认识他们的途径。

Polar的回应

不过对于这些被泄漏的信息,有人认为是一般的数据安全问题,只不过其中不小心夹杂了军事问题,还有人认为Polar Flow就是一个间谍软件,比如民主与技术中心的首席技术专家约瑟夫•洛伦佐•霍尔(Joseph Lorenzo Hall)就评论说:“这些信息根本构不成情报”。

另外Polar首席战略官Marco Suvilaakso也在一份声明中表示:

我们也是刚知道,有人通过Polar Flow中的探索功能的共享位置数据,来探测潜在敏感位置的事情。根据我们的检测,Polar Flow还没有发生过泄密或系统被攻击的情况。目前绝大多数Polar用户都会把默认的配置文件和会话数据设置为隐私,如果是这样数据不会发生泄漏。虽然选择是否共享GPS位置数据是用户的自由,但当知道潜在的敏感位置会出现在公共数据中时,我们还是决定暂时中止Polar Flow中的探索功能。

据了解,目前只有2%左右的Polar用户选择共享数据,但这仍然可能泄露潜在敏感数据。针对该事件,荷兰国防部长发布法令,规定军事人员应从其智能手机中删除所有健身应用程序。

针对该事件,美国商业科技新闻网站ZDNet询问了Polar,特别是泄漏隐私数据中的一些家庭地址,是否违反了欧洲的最新数据保护法即GDPR。对此,Suvilaakso的回应是:

我们完全符合GDPR标准。

虽然Polar表示没有透露其用户数据,但De Correspondent已经发现了超过3000万用户的ID。

健身应用Polar Flow可暴露情报和军事人员位置

总部设在马里兰州米德堡的美国国家安全局

健身应用Polar Flow可暴露情报和军事人员位置

巴黎的DGSE总部

健身应用Polar Flow可暴露情报和军事人员位置

关塔那摩湾拘留营

缓解措施

目前,De Correspondent已经与荷兰和芬兰当局联系以确保Polar的平台安全,而ZDNet则联系了美国相关部门,以了解数据曝光情况。

为此负责监督情报界安全管理的国家情报局局长办公室发言人Charles Carithers周四表示:

我们已经意识到,这些信息中的个人位置数据的严重危害性。因此,对于从事军事和情报工作的美国机构来说,凡是涉及到使用个人健身和类似设备,各个机构都应出台有针对性的措施。

美国国家安全局发言人Brynn Freeland表示,他们早已制定并实施有关在受控工作区域内使用可穿戴健身设备的政策,但没有细说这些政策是什么。此外,Brynn Freeland还表示他们正在为员工提供持续的安全教育活动,重点关注技术,隐私和运营安全之间的关系。

而美国中央情报局发言人莱恩特拉帕尼则拒绝发表评论或提供有关使用私人健身器材的指导,白宫也没有发表评论,国家安全委员会发言人也没有发表评论,FBI没有回复评论请求,五角大楼的发言人也没有回应评论请求。

在早些时候的声明中,监督军方的部门表示“非常认真对待这些问题”,之前的安全指导显示军事人员不允许使用包含Wi-Fi或蜂窝功能的健身追踪器,但允许使用蓝牙和支持GPS的设备将数据同步到手机。

Polar表示:

我们的目标是提高隐私保护水平,并在共享GPS位置数据时提高个人安全保护。