健身應用Polar Flow可暴露情報和軍事人員位置

關於健身應用暴露隱私的事情已經不是什麼新鮮事了，但對於以安全為生命準線的軍事來說，一旦信息泄露，就會給國家造成不可估量的損失。因此，其關注度也要高於一般的行業。

近日，荷蘭新聞網站De Correspondent和英國民間調查網站Bellingcat調查發現，健身應用程序Polar Flow公布的數百萬用戶健身活動數據，無意中暴露了69個國家的情報和軍事人員位置，根據這些位置信息，人們可以輕而易的對某個國家的情報部門、軍事基地和機場、甚至核武器庫等進行定位。

這些泄漏的位置數據清晰的顯示了情報和軍事人員的家庭住址，即使他們在應用中把個人資料被設置為隱私也無濟於事。

為什麼軍事信息經常會從某些應用中被泄漏出來？

因為情報和軍事人員也像一般人一樣有生活的時間，他們也喜歡一些比較流行的東西。除了軍事秘密外，Polar Flow收集信息的詳細程度足以給個人帶來威脅。研究人員發現有些細節竟然已經精確到用戶的家門口了，甚至能夠為沿某條線路出行的用戶提供畫像。比如，去年健身追蹤應用Strava也曾暴露過軍事人員的詳細信息，當時就有人據此挖出了美軍軍事基地的信息。

應用程序Polar Flow是由其同名公司Polar（一家位於紐約的芬蘭健身追蹤巨頭Polar）開發的，該程序允許任何人通過修改瀏覽器的網址，即可在幾年內訪問用戶的健身活動信息，不過這也給了攻擊者（包括惡意攻擊者及外國情報機構）訪問用戶的健身活動記錄的機會。

數據泄漏過程

對於將活動跟蹤記錄設置為公開的大多數用戶，在Polar的所謂「探索」地圖上發布他們的鍛煉過程是一項功能而非隱私問題。但即使將個人資料設置為隱私，用戶的健身活動也可以顯示一個人的生活位置。

如果在政府或軍事基地工作的人位置暴露，就很可能成為國家安全風險。之所以會出現如此幼稚的泄漏事件，是因為公司都將隱私責任交給了用戶，讓他們自己進行各種設置，而默認情況下很多功能都是打開的，並且許多功能都是隱藏的，用戶也不知道怎麼設置。最重要的是，很多人並不知道他們的信息是可搜索的，甚至是可以訪問的。

雖然許多政府和軍事設施都廣為人知，但其員工的身份並非每個人都知道。但現在，研究人員通過追蹤健身數據，發現Polar的API可能會被不恰當的查詢，以檢索任何用戶的健身活動，例如每次跑步和騎自行車的記錄。這個健身應用程序可以讓任何人找到士兵和秘密情報人員的姓名和地址。

軍事和秘密情報人員的姓名和地址是怎麼被發現的？

Bellingcat的報告顯示，相比Garmin、Strava等應用程序，Polar Flow提供的數據更全面（涵蓋用戶自2014年以來上傳到平台的所有內容），訪問方式也更簡單，更容易發生數據泄露。在任何敏感的政府場所或軍事設施上都有兩對坐標，可以找到跟蹤其健身活動的人員的姓名，這些人員的歷史可以追溯到2014年。

研究人員發現，目前已有6400名被認為是在敏感地點鍛煉的用戶，這些地點包括國家安全局，白宮，倫敦軍情六處和古巴的關塔那摩灣拘留中心，以及在外國軍事基地工作的人員。

另外，研究人員還發現了外國情報部門的官員和情報人員的姓名，如切爾滕納姆（英國英格蘭格洛斯特郡的自治市鎮）的GCHQ（英國間諜機構政府通信總部），巴黎的法國DGSE（法國對外安全局）和莫斯科的俄羅斯GRU（格勒烏是俄羅斯聯邦最大也是最為秘密的情報機構）。

研究人員還發現了核儲存設施，導彈發射井和監獄的工作人員。

從泄漏的數據中，研究人員不僅可以確切地看到用戶在哪裡鍛煉，如果他們一離開家就開始或停止了他們的健身追蹤，很容易確切地指出用戶居住的地方。由於隨便可以對這些數據進行訪問，再加上易於使用的用戶ID號碼，研究人員還發現他們可以欺騙API檢索私人檔案中的健身追蹤數據。

阿富汗巴格拉姆機場

倫敦的英國秘密情報局（MI6）

在白宮這樣人口密集的地區，追蹤附近健身的普通人數量較多，這就增加了數據中不必要的噪音，但如果是軍營和政府基地，則數據監測的效果就好多了。

De Correspondent在另一份報告中解釋了跟蹤一位Polar用戶是多麼容易，該用戶被認為是荷蘭國家情報局的一名官員，研究人員甚至找到了他的家庭住址。但在一些國家，如荷蘭，揭露情報人員的身份是非法的。

另外，研究人員跟蹤到了英國國家安全局的一名用戶，當用戶離開他在弗吉尼亞附近的房子後，他就開始進行鍛煉，通過公開記錄，研究人員確認了他的名字，以及他作為高級軍官的角色。還有一名美國國家安全局工作人員，被發現在關塔那摩灣拘留中心附近進行鍛煉。

De Corresponden還發現了幾名外國軍事和情報人員在美國敏感設施附近的健康跟蹤數據，這表明他們正在刺探情報。這些數據可以為人們的生活，居住的地方，去過的地方構建一幅完整的畫像，並開闢出更多關於他們是誰以及認識他們的途徑。

Polar的回應

不過對於這些被泄漏的信息，有人認為是一般的數據安全問題，只不過其中不小心夾雜了軍事問題，還有人認為Polar Flow就是一個間諜軟體，比如民主與技術中心的首席技術專家約瑟夫?洛倫佐?霍爾（Joseph Lorenzo Hall）就評論說：「這些信息根本構不成情報」。

另外Polar首席戰略官Marco Suvilaakso也在一份聲明中表示：

我們也是剛知道，有人通過Polar Flow中的探索功能的共享位置數據，來探測潛在敏感位置的事情。根據我們的檢測，Polar Flow還沒有發生過泄密或系統被攻擊的情況。目前絕大多數Polar用戶都會把默認的配置文件和會話數據設置為隱私，如果是這樣數據不會發生泄漏。雖然選擇是否共享GPS位置數據是用戶的自由，但當知道潛在的敏感位置會出現在公共數據中時，我們還是決定暫時中止Polar Flow中的探索功能。

據了解，目前只有2％左右的Polar用戶選擇共享數據，但這仍然可能泄露潛在敏感數據。針對該事件，荷蘭國防部長發布法令，規定軍事人員應從其智能手機中刪除所有健身應用程序。

針對該事件，美國商業科技新聞網站ZDNet詢問了Polar，特別是泄漏隱私數據中的一些家庭地址，是否違反了歐洲的最新數據保護法即GDPR。對此，Suvilaakso的回應是：

我們完全符合GDPR標準。

雖然Polar表示沒有透露其用戶數據，但De Correspondent已經發現了超過3000萬用戶的ID。

總部設在馬里蘭州米德堡的美國國家安全局

巴黎的DGSE總部

關塔那摩灣拘留營

緩解措施

目前，De Correspondent已經與荷蘭和芬蘭當局聯繫以確保Polar的平台安全，而ZDNet則聯繫了美國相關部門，以了解數據曝光情況。

為此負責監督情報界安全管理的國家情報局局長辦公室發言人Charles Carithers周四表示：

我們已經意識到，這些信息中的個人位置數據的嚴重危害性。因此，對於從事軍事和情報工作的美國機構來說，凡是涉及到使用個人健身和類似設備，各個機構都應出台有針對性的措施。

美國國家安全局發言人Brynn Freeland表示，他們早已制定並實施有關在受控工作區域內使用可穿戴健身設備的政策，但沒有細說這些政策是什麼。此外，Brynn Freeland還表示他們正在為員工提供持續的安全教育活動，重點關注技術，隱私和運營安全之間的關係。

而美國中央情報局發言人萊恩特拉帕尼則拒絕發表評論或提供有關使用私人健身器材的指導，白宮也沒有發表評論，國家安全委員會發言人也沒有發表評論，FBI沒有回複評論請求，五角大樓的發言人也沒有回應評論請求。

在早些時候的聲明中，監督軍方的部門表示「非常認真對待這些問題」，之前的安全指導顯示軍事人員不允許使用包含Wi-Fi或蜂窩功能的健身追蹤器，但允許使用藍牙和支持GPS的設備將數據同步到手機。

Polar表示：

我們的目標是提高隱私保護水平，並在共享GPS位置數據時提高個人安全保護。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！