Persbericht
Sport- en fitness-apps, zoals Strava, winnen jaar na jaar aan populariteit. Het zijn ook vaak echte sociale netwerken geworden. Je deelt er zeer persoonlijke gegevens, en soms onbewust ook je woon- of werklocatie als startpunt van je sportactiviteiten. De apps laten je meestal toe die locaties te verbergen, maar onderzoekers van de onderzoeksgroep imec-DistriNet aan KU Leuven ontdekten dat die optie in vele gevallen een vals gevoel van veiligheid geeft. Strava heeft de onderzoekers al uitgenodigd om hun conclusies samen te bekijken.
Dertien procent van de Vlamingen gebruikt dagelijks een sportapp, zo blijkt uit de imec.digimeter. 34 procent van de Vlamingen heeft het gevoel dat hun persoonlijke gegevens veilig zijn op hun wearable of gezondheidsapp. Maar veel mensen beseffen niet dat de activiteiten die ze delen ook veel vertellen over zichzelf. Heel vaak kan je er patronen in ontdekken: vaste plekken en momenten waarop je gaat sporten, vaste routes, vaste vertrek- en aankomstpunten. En net die laatste zijn ook vaak woon- of werkplekken.
Een vals gevoel van veiligheid
Om die gegevens niet zomaar vrij te geven werken de sociale netwerken zoals Strava vaak met endpoint privacy zones: ze laten je toe zones rond privacy-gevoelige locaties te verbergen, met een cirkel rond die plek waarvan je zelf de grootte kiest
Maar die aanpak creëert een vals gevoel van veiligheid, toonden onderzoekers van de imec-DistriNet groep aan KU Leuven aan. “In het overzicht van je beschermde activiteit zitten nog zoveel gegevens over bijvoorbeeld afgelegde afstand en gevolgde route dat die in combinatie met een stratenplan je vertrek- of aankomstpunt toch prijsgeven”, zegt onderzoeker Karel Dhondt van KU Leuven Gent - Campus Rabot.
De onderzoekers ontwikkelden een zogenaamde inference attack en pasten die toe op geanonimiseerde activiteiten die werden gedeeld op sportapps. “Zo konden we bij de 1.4 miljoen Strava-activiteiten die we analyseerden tot 85 procent van de verborgen locaties toch blootleggen, puur op basis van de extra gegevens die publiek werden prijsgegeven”, zegt onderzoeker Victor Le Pochat van de imec-DistriNet onderzoeksgroep.
Veel gebruikers zijn zich wel bewust van de risico’s die het delen van activiteiten op deze platformen met zich meebrengt. Zo waren er in het verleden berichten over hoe militairen onbewust de locatie van geheime militaire locaties prijs gaven door hun looprondjes te delen. Of berichten over sporters wiens dure fietsen gestolen werden nadat dieven op Strava op de loer lagen. Maar dus ook de nieuwe mogelijkheden om je locatiegegevens te beschermen zijn niet helemaal waterdicht.
Oplossingen
De onderzoekers hebben hun bevindingen aan de respectievelijke platformen bezorgd, en zitten binnenkort samen met Strava om hun voorstellen voor verbeteringen te bespreken.
De apps zouden de info over de afstand die je aflegt binnen de verborgen zone beter kunnen verbergen voor buitenstaanders, of zelfs helemaal weglaten, al heeft die laatste ingreep zware impact voor de gebruikers: dan wordt de activiteit niet meer volledig opgenomen. Ze zouden ook de vorm en grootte van de zones die verborgen worden (nu meestal cirkels) meer kunnen variëren.
“Ook als gebruiker kan je je privacy op sportapps beter beschermen. Een privacy zone instellen is sowieso nog altijd een goed idee, maar maak de zone rond plekken die je verborgen wil houden groot genoeg. Vaak is het minimum 200 meter, maar kan je de zone vergroten tot meer dan een kilometer. Hoe groter hoe beter”, benadrukt onderzoeker Karel Dhondt. Daarnaast is meer variëren in je start- en aankomstplek ook een effectieve strategie.
Priva
De onderzoekers bouwden ook een online toepassing, die ze Priva doopten, die hun inzichten gebruikt om je sportactiviteiten beter te beveiligen. Je kiest er een locatie die je wil beveiligen en de toepassing kiest voor jou de beste grootte van de zone die onzichtbaar wordt gemaakt.
Meer informatie
De studie wordt op 9 november voorgesteld op de toonaangevende beveiligingsconferentie ACM Conference on Computer and Communications Security (CCS) in Los Angeles.
De volledige studie is hier beschikbaar: A Run a Day Won't Keep the Hacker Away: Inference Attacks on Endpoint Privacy Zones in Fitness Tracking Social Networks
Het onderzoek werd ondersteund door het Bijzonder Onderzoeksfonds KU Leuven en het Vlaams Onderzoeksprogramma Cybersecurity. Mede-onderzoeker Victor Le Pochat werd tijdens het onderzoek ondersteund door het Fonds Wetenschappelijk Onderzoek - Vlaanderen.