L’accesso ai dati sulla tua posizione è probabilmente una delle autorizzazioni più sensibili che un’app Android può richiedere. Diventa ancora più importante quando detta app monitorerà la tua posizione costantemente o in background, come nelle app di fitness. Una delle migliori app per il fitness, Strava, non è estranea a tali timori per la sicurezza legati alla posizione, ma un recente documento di ricerca rivela che c’è un’allarmante possibilità che i dati di Strava possano essere resi de-anonimati.
Strava ha già avuto problemi legati alla privacy ma poco o nulla è stato fatto
I problemi di privacy con la raccolta dei dati sulla posizione di Strava risalgono al 2018, quando le heatmap dell’app hanno rivelato accidentalmente la posizione di diverse basi militari segrete, comprese alcune negli Stati Uniti.
Se non sei a conoscenza, Strava è un’app di social fitness con oltre 100 milioni di utenti, in cui è possibile condividere le proprie attività e statistiche relative al fitness con altri per incoraggiamento e competizione. La funzione heatmap disponibile pubblicamente mostra il percorso seguito da ogni utente Strava, con timestamp, come una linea di luce su una mappa.
Sebbene la raccolta dei dati sia resa anonima, una recente ricerca del Dipartimento di informatica della North Carolina State University afferma che questi dati possono essere riassociati ai rispettivi utenti. Si tratta di un problema in quanto possono rivelare le posizioni degli utenti Strava, i percorsi frequentati e le identità con una precisione fino al 37,5%.
Anche se Strava afferma di nascondere i dati delle attività per i profili privati nel suo database, questi sono comunque inclusi nella heatmap. Ciò significa che i profili pubblici e privati possono essere de-anonimati con la stessa facilità.
Utilizzando quella mappa termica come fonte di dati, i ricercatori sono stati in grado di identificare i luoghi di inizio e fine delle attività, rivelando potenziali residenze dell’utente.
In combinazione con i dati di OpenStreetMaps e registri pubblici come i censimenti, c’è un’alta probabilità che Strava possa rivelare il tuo nome e indirizzo di casa a un cattivo attore.
Inoltre, i ricercatori hanno divulgato che l’intero processo di scansione dei database pubblici e di individuazione delle case può essere automatizzato facilmente, per velocizzare potenzialmente un simile attacco.
Comprensibilmente, sarebbe più difficile identificare le persone e i loro percorsi nelle periferie affollate, ma diventa molto facile quando le città hanno pochi utenti Strava.
Se questo fa sembrare che nulla sia cambiato dall’incidente del 2018, si scopre che i governi hanno vietato l’uso di app per il fitness nelle installazioni militari, ma Strava non ha intrapreso alcuna azione.
L’app nasconde solo i dati nel primo e nell’ultimo segmento dell’attività di localizzazione dal riepilogo dell’allenamento.
Cosa può fare Strava per sistemare il problema
Per fortuna, i ricercatori della Carolina del Nord suggeriscono modifiche che gli sviluppatori di app possono apportare. Per prima cosa, Strava può espandere la funzione delle zone nascoste dalle singole attività alla mappa di calore. Inoltre, può creare aree di esclusione in modo che le mappe di calore non mostrino gli utenti nelle strade che collegano le loro case alle strade principali.
