De apps laten je meestal toe die locaties te verbergen, maar onderzoekers van de onderzoeksgroep imec-DistriNet aan KU Leuven ontdekten dat die optie in vele gevallen een vals gevoel van veiligheid geeft. Strava heeft de onderzoekers al uitgenodigd om hun conclusies samen te bekijken.
De populaire sport app Strava telde eind mei 2022 meer dan 100 miljoen gebruikers in 195 landen. Runtastic van Adidas heeft zelfs 182 miljoen geregistreerde gebruikers. Dat zijn slechts twee voorbeelden van de populariteit van sociale netwerken rond sport. Dagelijks worden miljoenen sportactiviteiten over de hele wereld gedeeld met vrienden en andere app-gebruikers, een virtuele supporters community. Maar de activiteiten die je deelt vertellen ook veel over jezelf. Heel vaak kan je er patronen in ontdekken: vaste plekken en momenten waarop je gaat sporten, vaste routes, vaste vertrek- en aankomstpunten. En net die laatste zijn ook vaak woon- of werkplekken.
Een vals gevoel van veiligheid
Om die gegevens niet zomaar vrij te geven werken de sociale netwerken zoals Strava vaak met endpoint privacy zones: ze laten je toe zones rond privacy-gevoelige locaties te verbergen, in een cirkel rond die plek waarvan je zelf de grootte kiest. Maar die aanpak creëert een vals gevoel van veiligheid, toonden onderzoekers van de imec-DistriNet groep aan KU Leuven aan.
“In het overzicht van je beschermde activiteit zitten nog zoveel gegevens over bijvoorbeeld de afgelegde afstand en gevolgde route dat die in combinatie met een stratenplan, je vertrek- of aankomstpunt toch prijsgeven”, legt onderzoeker Karel Dhondt van KU Leuven Gent - Campus Rabot, uit.
De cirkel toont de “privacy zone” die een sporter kan aanduiden. Maar die ligt op een stratenplan dat toont waar de sporter die zone binnengaat. Combineer dat met het feit dat je ook weet hoeveel afstand de sporter nog heeft afgelegd, en dat voor meerdere loopactiviteiten (oranje, groen en blauw), en je kan makkelijk tot 1 concreet punt komen waar de sporter waarschijnlijk woont of werkt.
De onderzoekers ontwikkelden een zogenaamde inference attack en pasten die toe op geanonimiseerde activiteiten die werden gedeeld op sportapps. “Zo konden we bij de 1,4 miljoen Strava-activiteiten die we analyseerden tot 85 procent van de verborgen locaties toch blootleggen, puur op basis van de extra gegevens die publiek werden prijsgegeven”, zegt onderzoeker Victor Le Pochat van de imec-DistriNet onderzoeksgroep.
Veel gebruikers zijn zich wel bewust van het risico dat het delen van activiteiten op deze apps met zich meebrengt. Zo waren er in het verleden berichten over hoe militairen onbewust de locatie van geheime militaire locaties prijs gaven door hun looprondjes te delen. Of berichten over sporters wiens dure fietsen gestolen werden nadat dieven op Strava op de loer lagen. Maar dus ook de nieuwe mogelijkheden om je locatiegegevens te beschermen zijn niet waterdicht.
Oplossingen
De onderzoekers hebben hun bevindingen aan de respectievelijke platformen bezorgd, en zitten binnenkort samen met Strava om hun voorstellen voor verbeteringen te bespreken. De apps zouden de info over de afstand die je aflegt binnen de verborgen zone beter kunnen verbergen voor buitenstaanders, of zelfs helemaal weglaten. Al heeft die laatste ingreep een zware impact voor de gebruikers aangezien de activiteit dan niet meer volledig wordt opgenomen. Ze zouden ook de vorm en grootte van de zones die verborgen worden (nu meestal cirkels) meer kunnen variëren.
“Ook als gebruiker kan je je privacy op sportapps beter beschermen. Een privacy zone instellen is sowieso nog altijd een goed idee, maar maak de zone rond plekken die je verborgen wil houden groot genoeg. Vaak is het minimum 200 meter, maar kan je de zone vergroten tot meer dan een kilometer. Hoe groter hoe beter”, benadrukt onderzoeker Karel Dhondt. Daarnaast is meer variëren in je start- en aankomstplek ook een effectieve strategie.