0
0
Aplicativos de fitness, como o Strava, vazam informações confidenciais de localização dos usuários, mesmo quando eles usaram recursos no aplicativo para configurar especificamente zonas de privacidade para ocultar suas atividades em áreas específicas, descobriram os pesquisadores.
Dois estudantes de doutorado da KU Leuven, na Bélgica, descobriram que, se uma pessoa está iniciando sua atividade em casa, um invasor com habilidades limitadas pode usar metadados de API de alta precisão revelados no aplicativo para identificar sua localização residencial, mesmo que tenha configurado o que é chamado de “zona de privacidade de endpoint” (EPZ) para essa área.
Além disso, apesar de entrar em contato com as empresas com aplicativos que vazam esses dados, o problema ainda está em grande parte sem solução, disseram os pesquisadores, Karel Dhondt e Victor Le Pochat. Eles planejam apresentar suas descobertas na Black Hat Asia em uma sessão chamada “Uma corrida por dia não manterá o hacker longe: ataques de inferência em zonas de privacidade de endpoints em redes sociais de rastreamento de condicionamento físico”. Dhondt e Pochat apresentaram anteriormente o trabalho e seu trabalho de acompanhamento na Conferência ACM sobre Segurança de Computadores e Comunicações (CCS) 2022 em novembro passado.
As pessoas usam aplicativos de fitness como o Strava para acompanhar e compartilhar dados sobre sua atividade física, como correr, andar de bicicleta ou caminhar. De dentro do aplicativo, eles podem definir e atingir metas de condicionamento físico, bem como competir ou treinar virtualmente com os amigos, entre outros usos.
No entanto, esses dados, se caírem nas mãos erradas, podem ser usados contra eles para localizar onde vivem ou onde frequentemente realizam sua atividade física, levando a possíveis danos físicos. Em 2017, esse cenário veio à tona quando os pesquisadores revelaram que o Strava compartilhava locais secretos de bases do Exército quando o pessoal em serviço ativo compartilhava sua atividade física com o aplicativo, potencialmente expondo-os e sua atividade militar a inimigos e colocando-os em risco físico.
Quando a privacidade do aplicativo não é privada
Em resposta a essa revelação, o Strava e outros aplicativos de fitness adicionaram recursos de privacidade – chamados EPZs no Strava, mas que tem outros nomes em outros aplicativos. Isso permite que os usuários ocultem partes de sua rota em torno de locais confidenciais, como suas casas ou escritórios, e só rastreiem a atividade depois de deixarem essas áreas definidas.
Especificamente, a EPZ no Strava é uma área circular que alguém pode configurar para ocultar vestígios de atividade que ocorrem dentro dela. Outros aplicativos abordados na pesquisa que têm recursos semelhantes incluem Garmin Connect, Relive, Komoot, Map My Tracks e Ride With GPS.
Dhondt e Le Pochat – um ciclista e um corredor, respectivamente – são entusiastas de aplicativos de fitness e embarcaram em sua investigação por seu próprio interesse pessoal. Eles sabiam que, em teoria, as EPZs dentro do Strava deveriam proteger os dados de localização sobre esses locais confidenciais de serem revelados aos usuários do aplicativo ou a qualquer outra pessoa que visualizasse seus dados de atividade.
Mas esse não é realmente o caso, eles descobriram. Os pesquisadores construíram com sucesso um ataque cibernético usando informações de distância vazadas em metadados de atividade, dados de grade de rua e os locais dos pontos de entrada na EPZ, revelaram em sua pesquisa. Esses resultados permitiram que eles usassem a análise de regressão para prever locais protegidos dos usuários, mesmo quando eles haviam configurado zonas de privacidade para ocultá-los.
“Nos metadados há o valor de distância de toda a pista – incluindo as partes que deveriam estar escondidas dentro da zona de privacidade”, explica Dhondt em entrevista ao Dark Reading. “A distância que foi percorrida dentro da zona de privacidade vazou.”
Usando esses metadados combinados com mapas da área local, os pesquisadores puderam fazer previsões sobre onde outros usuários terminaram ou iniciaram sua atividade, portanto, onde vivem ou trabalham, diz ele.
Além disso, o ataque em si não é sofisticado, o que significa que qualquer pessoa com uma ferramenta de desenvolvedor simples que possa examinar dados de API de comunicações de servidores da Web pode visualizar os dados vazados, dizem os pesquisadores.
“Não é como se eles tivessem que forjar chamadas de API ou alterar as maneiras como se comunicam com o Strava”, diz Dhondt. “Sempre que o Strava desenha o mapa de onde quer que a pessoa tenha corrido ou pedalado, os dados da API de alta precisão já estão lá. Você pode usar uma ferramenta de desenvolvedor e inspecionar facilmente o tráfego de rede. Os dados estão a apenas um pressionamento de tecla de distância.”
Planejando o ataque
Os pesquisadores conduziram sua pesquisa usando dados de usuários em todo o mundo e experimentaram para ver se seu ataque funcionava em áreas escassamente povoadas ou densamente povoadas. Acontece que sim, mas é claro que é muito mais fácil identificar locais em áreas onde há apenas algumas casas ou outros edifícios, dizem os pesquisadores.
Além disso, a configuração de uma EPZ maior reduziu o desempenho do ataque e a taxa de sucesso, enquanto as atividades geograficamente dispersas em grades de rua mais esparsas produzem melhor desempenho de ataque. “Em áreas rurais ou esparsas, se você tem uma zona de privacidade de 200 metros com apenas algumas casas na zona, é mais fácil identificar a localização”, diz Dhondt.
Em termos dos dados coletados e examinados, os pesquisadores realizaram uma coleta de dados aleatória e em larga escala de 4.000 usuários e 1,4 milhão de atividades do Strava em vários locais do mundo durante um período de um mês. Seus resultados para o Strava descobriram que o ataque descobre o local protegido para até 85% das EPZs, protegendo apenas 15% dos usuários que configuram essas zonas.
Mitigação e (falta de) resposta
Os pesquisadores divulgaram de forma responsável suas descobertas a todas as empresas cujos aplicativos investigaram, além de oferecer várias maneiras pelas quais os problemas podem ser resolvidos. No entanto, até agora, apenas o Strava respondeu aos pesquisadores além de agradecê-los pela divulgação, e os dois estão em discussões contínuas com o provedor de aplicativos de fitness para possíveis mitigações.
Ainda assim, as empresas não parecem particularmente interessadas em aplicar mitigações, citando a diminuição da experiência do usuário se as correções propostas forem aplicadas, disseram os pesquisadores.
“Eles estavam relutantes em aplicar qualquer uma de nossas recomendações porque sentiram que isso afetaria negativamente o utilitário para seus usuários”, diz Dhondt. No entanto, embora isso possa ser verdade para algumas das correções propostas, não é verdade para todas elas, diz ele.
Uma mitigação, por exemplo, exige que os aplicativos minimizem a precisão dos dados revelados nas APIs usadas nas comunicações de rede. No Strava, os dados na interface do usuário sobre a distância percorrida são arredondados para baixo com precisão de 10 metros, e a distância percorrida dentro da zona de privacidade é mostrada arredondada para baixo com precisão de 100 metros. No entanto, ambas as distâncias são fornecidas na API com precisão de 0,1 metro, diz Le Pochat.
Portanto, “quanto menor a precisão das distâncias relatadas na API, menor seria a taxa de sucesso [do ataque]”, diz Dhondt.
Os pesquisadores também sugerem que os aplicativos poderiam ajudar os usuários a escolher o tamanho de sua zona de privacidade, dada a área em que vivem e se é densamente povoada ou não, o que seria uma correção relativamente fácil de fazer, dizem eles. Eles também sugerem o uso de formas não circulares e menos típicas para criar a zona para dificultar a identificação da localização, o que o aplicativo Kommut já faz.
Para ser justo, porém, algumas das mitigações sugeridas tiram a experiência do usuário do aplicativo, reconhecem os pesquisadores. Entre elas estão sugestões para mudar ligeiramente a distância, tomando-a desde o início e adicionando-a ao final, e outra para cortar o início e o término na zona de privacidade da distância medida no aplicativo para que ninguém pudesse rastrear onde um usuário esteve durante sua rota.
“As pessoas usam esses aplicativos para rastrear seus desempenhos, então elas podem não gostar disso”, diz Dhondt. “Eles tiram um pouco da diversão e atração desses aplicativos.”
No geral, dizem os pesquisadores, o Strava e outros provedores de aplicativos de fitness precisam equilibrar a usabilidade e a funcionalidade desses aplicativos e decidir o que é mais importante.
“É uma decisão difícil priorizar a privacidade, o que reduz a quantidade de dados e a funcionalidade, ou priorizar a funcionalidade do aplicativo”, diz Le Pochat. “Às vezes você tem que fazer concessões e dar privacidade para ganhar funcionalidade.”
FONTE: DARK READING