Los piratas informáticos aún pueden determinar dónde se encuentra su hogar o su trabajo a partir de sus actividades de Strava, incluso si se encuentran dentro de «zonas de privacidad», según una investigación de una universidad belga.
El estudio de estudiantes de doctorado en KU Leuven encontró que los piratas informáticos, con un esfuerzo limitado, pueden descubrir hasta el 85% de las ubicaciones protegidas.
Aplicaciones como Strava introdujeron la capacidad de ocultar dónde se encuentra tu casa o tu trabajo para evitar que los ladrones encuentren tu casa y, por lo tanto, dónde guardas tu bicicleta. La policía advirtió previamente a los usuarios que los delincuentes podrían utilizar la plataforma para detectar robos.
Los usuarios de Strava pueden ocultar el inicio y el final de cada actividad, o también ocultar el inicio y el final de las actividades en torno a una dirección específica, como la casa. En Strava, esta función se denomina «zona de privacidad de punto final» (EPZ).
Sin embargo, un estudio reciente, titulado Una carrera diaria no mantendrá alejado al hacker: ataques de inferencia en las zonas de privacidad de los puntos finales en las redes sociales de seguimiento del estado físicopublicado a finales del año pasado concluyó: «A pesar del uso del encubrimiento espacial, mostramos que estas ubicaciones protegidas todavía se pueden descubrir de manera confiable. Nuestro ataque aprovecha las distancias recorridas informadas dentro de la ZPE [endpoint privacy zone]así como el trazado de la cuadrícula de calles para desanonimizar ubicaciones protegidas con una tasa de éxito de hasta el 85 %.
«Si bien las contramedidas basadas en la distancia, como la generalización, pueden ser efectivas para frustrar nuestro ataque, también pueden reducir severamente la usabilidad. Por lo tanto, las redes deben considerar cuidadosamente qué funcionalidad brindan al tiempo que garantizan la privacidad del usuario».
En respuesta, Strava dijo que no hubo filtraciones ni ataques cibernéticos relacionados con esta investigación, pero no comentó si había tomado alguna medida al respecto.
«La privacidad es nuestra principal prioridad para nuestra comunidad global, y podemos confirmar que no ha habido filtraciones ni ataques cibernéticos que involucren a Strava o los datos de nuestra comunidad con respecto a esta investigación», dijo un portavoz.
«Agradecemos los comentarios de nuestra comunidad y notamos que brindamos amplios controles de privacidad, incluidos los controles de visibilidad de actividad, perfil y mapa líderes en la industria, para empoderar a todos en Strava».
El «ataque» de los investigadores utilizó información de distancia filtrada en metadatos de actividad, datos de cuadrícula de calles y las ubicaciones de los puntos de entrada a la ZPE, que se reveló en su investigación para predecir las ubicaciones protegidas de los usuarios.
«En los metadatos está el valor de la distancia de toda la pista, incluidas las partes que se supone que están ocultas dentro de la zona de privacidad», dijo Karel Dhondt, uno de los investigadores, al sitio de noticias de seguridad cibernética. Lectura oscura (se abre en una pestaña nueva). «Se ha filtrado la distancia que se ha cubierto dentro de la zona de privacidad».
«No es como si ellos [a hacker] tienen que falsificar llamadas API o alterar las formas en que se comunican con Strava», dijo Dhondt. «Cada vez que Strava dibuja el mapa de donde la persona fue a correr o andar en bicicleta, los datos API de alta precisión ya están allí. Puede usar una herramienta de desarrollador e inspeccionar fácilmente el tráfico de red. Los datos están a solo una tecla de distancia».
Las lagunas se pueden mitigar, como iniciar actividades más lejos de los lugares que desea proteger, o aumentando el tamaño de su ZFI. Sin embargo, esto podría reducir la usabilidad de la aplicación.
Según los investigadores, Strava respondió a su investigación, pero otros fabricantes de aplicaciones con características de privacidad similares no hicieron más que agradecerles por sus esfuerzos.
