La escapatoria de la aplicación Fitness permite el acceso a las direcciones de las casas

May 09, 2023

A pesar de los intentos de anonimizar los datos de los usuarios, la aplicación de fitness Strava permite que cualquier persona encuentre información personal, incluidas las direcciones de sus casas, sobre algunos usuarios. El hallazgo, que se detalla en un nuevo estudio, plantea importantes preocupaciones sobre la privacidad.

"Los usuarios de Strava esperan que su información personal esté protegida, y nuestro trabajo muestra que no siempre es así", dice Anupam Das, autor principal de un artículo sobre el trabajo y profesor asistente de informática en la Universidad Estatal de Carolina del Norte. "Esto podría ser particularmente problemático para los usuarios que están preocupados por los acosadores o que tienen otras razones para desear que sus datos de ubicación se mantengan ocultos al público".

Strava es una aplicación móvil de seguimiento del estado físico que permite a los usuarios realizar un seguimiento de sus actividades de ejercicio, pero también incluye funciones diseñadas para ayudar a los usuarios a conectarse entre sí. Estas características se pueden utilizar para organizar clubes en torno a intereses compartidos, como el senderismo o el ciclismo. Por ejemplo, la aplicación incluye una función de "mapa de calor" que agrega datos de usuario. Si bien todos los datos de los usuarios son anónimos, la función de mapa de calor permite a los usuarios ver cuántos otros usuarios de Strava practican senderismo, carrera o ciclismo en un área determinada.

"Strava enfatiza que la función de mapa de calor usa solo datos agregados, lo que debería hacer que sea imposible para cualquiera capturar información privada sobre cualquier usuario específico", dice Das. "Sin embargo, encontramos una laguna".

Específicamente, los investigadores descubrieron que cualquiera puede buscar a todos los usuarios de Strava en un área determinada. También es posible que los usuarios miren los datos agregados en un mapa de calor y vean dónde comienza y termina cada una de las rutas de los usuarios anónimos.

"En un área densamente poblada, con muchas rutas y muchos usuarios, hay tantos datos que sería extremadamente difícil rastrear a una persona específica", dice Das. "Sin embargo, en áreas donde hay pocos usuarios y/o pocas rutas, se convierte en un simple proceso de eliminación, especialmente si la persona que alguien está buscando es un usuario muy activo de Strava. Incluso los usuarios que han marcado sus cuentas como privadas aparecen. cuando alguien busca una lista de todos los usuarios en un municipio determinado, por lo que marcar una cuenta como privada no proporciona necesariamente protección adicional contra esta técnica de seguimiento".

"Nos comunicamos con Strava sobre esto, y la compañía ha dicho que no comparte datos de mapas de calor a menos que varios usuarios estén activos en un área determinada", dice Kevin Childs, primer autor del artículo y ex estudiante de NC State. "Sin embargo, aún pudimos identificar las direcciones de los hogares de algunos usuarios en ciertas áreas usando el mapa de calor y confirmamos esas identificaciones usando datos de registro de votantes".

Sin embargo, hay algo que los usuarios pueden hacer para proteger su privacidad.

"Los usuarios pueden ingresar a la configuración de su cuenta de Strava y optar por no contribuir con datos a la función de 'uso de datos agregados', lo que eliminaría sus rutas del mapa de calor por completo", dice Das.

El documento, "Heat Marks the Spot: De-Anonymizing Users' Geographical Data on the Strava Heatmap", se presentó el 25 de mayo en el 7.º Taller sobre Tecnología y Protección del Consumidor (ConPro '23) en San Francisco, California. El documento fue co -escrito por Daniel Nolting, estudiante universitario en NC State.

-barquero-

Nota para los editores:El resumen del estudio sigue.

"El calor marca el lugar: anonimización de los datos geográficos de los usuarios en el mapa de calor de Strava"

Autores: Kevin Childs, Daniel Nolting y Anupam Das, Universidad Estatal de Carolina del Norte

Presentado: 25 de mayo, ConPro '23, San Francisco, California.

Abstracto: Las aplicaciones móviles de seguimiento del estado físico, como Strava, se utilizan comúnmente para registrar actividades, realizar un seguimiento del progreso del estado físico y formar una comunidad con personas de ideas afines. En un esfuerzo por involucrar aún más a la comunidad, en 2018 Strava implementó una función de mapa de calor de exclusión voluntaria que agrega de forma anónima todas las actividades en un solo mapa. Esto permite a los usuarios encontrar puntos calientes y pistas activas al mismo tiempo que abre la plataforma a ataques de anonimización como inferir las direcciones de los usuarios. Al rastrear el mapa de calor disponible públicamente y mediante la validación manual, hemos demostrado que se puede identificar la dirección de la casa de los usuarios muy activos en áreas remotas, lo que viola los reclamos de privacidad de Strava y se presenta como una amenaza para la privacidad del usuario.