查看原文
其他

神秘特工利用跑步APP监视以色列军人和绝密基地

安全内参编译 安全内参 2022-07-02

关注我们

带你读懂网络安全


通过在跑步APP上传军事基地附近伪造的跑步“路段”,攻击者能够密切关注在基地内锻炼的个人;


某个位置显示为“马萨诸塞州波士顿”的匿名用户,在以色列的众多军事机构内设置了一系列伪造路段,包括情报机构前哨及被认为与核计划有关的绝密基地设施;


记者发现一位以色列核计划和绝密基地相关用户的行踪已被泄露。


前情回顾

安全内参6月22日消息,身份不明的窥探者一直在利用健身追踪应用Strava监视以色列军方人员跟踪他们在全国各处秘密基地的行踪,甚至在他们因公出差或前往世界各地度假时仍然持续窥探

通过在军事基地内设置伪造的跑步“路段”,此次监视行动(目前尚未明确归因)能够密切关注在基地内锻炼的个人,即使账户设置了最高级别隐私选项也无法回避。

据英国媒体《卫报》了解,一位被认为与以色列核计划相关、在绝密基地的用户,被追踪到在其他军事基地和某个外国

此次监视活动由以色列开源情报机构FakeReporter发现。该机构执行董事Achiya Schatz表示,“我们发现这一安全问题后,立即联系了以色列安全部队。在获得安全部队批准后,FakeReporter联系了Strava,对方组建了一支高级团队以解决这个问题。”

Strava的跟踪工具允许任意用户自由划定跑步或骑行“路段”,并针对特定路段开展竞速,例如在热门骑行路线组织长距离上坡赛或园区单圈赛。用户可以向Strava应用上传并定义自己的路段,也可以直接导入来自其他产品或服务的GPS记录

但Strava无法追踪这些GPS上传是否合法,因此没法识别哪些上传为真人实地划定,而哪些路段上传者自己根本没去过。事实上,部分上传路段记录显然是人为伪造,其中高达数百公里的平均时速、不自然的行进直线和瞬间垂直跃上悬崖等线索都是最好的证据。

这些伪造路段可被用于竞速作弊,但至少危害不大。而其中一些似乎别有邪恶目的,某个位置显示为“马萨诸塞州波士顿”的匿名用户,在以色列的众多军事机构内设置了一系列伪造路段,包括该国情报机构的前哨,以及被认为与核计划有关的绝密基地设施

Schatz认为,“借助这种上传设计文件的功能,敌对分子开始利用流行应用程序,窥探全球各地用户的个人信息,这也标志着损害公民及国家安全的恶意手段再次迈出惊人的一步。”

这种伪造路段的行为还绕过了Strava的隐私设置。用户可以将自己的个人资料设置为只对“关注者”可见,借此防止自己的路线被他人窥探。但除非主动对每一次跑步都单独设置,否则用户的头像、名字和首字母仍将显示在相应的路段上。于是乎,当地图上散布了足够多的路段后,该用户的行动轨迹仍将暴露:例如,可以看到某用户曾在一次公开路段竞速中胜出,随后又在各安全军事设施内跑步。

健身服务公司Strava在一份声明中表示,“我们非常重视隐私问题。以色列机构FakeReporter已经告知我们关于特定用户账户的安全问题,我们也已经采取了必要的纠正措施。”

“我们就Strava的信息分享功能提供了说明指引,也允许每位运动者根据自己的情况做出隐私选择。关于我们隐私控制机制的更多细节,请访问隐私中心。我们建议每位运动者都能花一点时间,保证自己在Strava中获得与预期相符的体验。”

这一发现不禁让人想到2018年的另一起丑闻。

当时Strava的一项新功能,在全球健身追踪平台上发布了所有运动的可视化标记。热力图显示出各地流行的跑步、自行车骑行与游泳路线。Strava在公告中强调,这项功能可以帮助用户轻松找到夏威夷铁人三项赛路线等重要地点。但其中也列出了某些不该被公开的内容:阿富汗赫尔曼德省多处军事基地的位置,布局清晰可见,英国福克兰群岛芒特普莱森特皇家空军基地也因附近的一处户外游泳点而进入公众视野。该地图甚至记录了一位孤独的自行车骑手在内华达州51区的行进路线。

面对质疑,Strava当时的态度是建议军方用户退出可视化功能,并辩解称这些信息是由上传用户自己公开的。而此次曝出的新问题中包含的细节还远超当年:一名美国空军服役人员在前往吉布提旅行时被追踪到,她在那里进行7公里环跑时,曾前往2016年调入的某德国空军基地


参考资料:theguardian.com



推荐阅读





点击下方卡片关注我们,
带你一起读懂网络安全 ↓


您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存