健身App界現「數據間諜」！Polar被爆泄露軍事基地和情報人員位置

【獵雲網（微信號：ilieyun）】7月9日報道（編譯：福爾摩望）

Bellingcat和荷蘭新聞平台De comporter聯合進行的一項調查顯示，健身應用Polar泄露了在隱秘地點鍛煉的人的家庭住址和生活，這些隱秘地點包括世界各地的情報機構、軍事基地和機場、核武器儲存點和大使館等。

今年1月，Nathan Ruser發現，健身應用Strava在跟蹤和發布個人鍛煉時，如位於秘密軍事前哨的士兵，泄露了世界各地的敏感地點。這些軍事地點的發現成為了全球頭條新聞，但可以嵌入Strava應用的Polar則泄露了更多信息。

這家以製造世界上第一台無線心率監測器而聞名的製造公司，利用其網站「Polar Flow」作為用戶分享跑步信息的社交平台。與Garmin和Strava的類似服務相比，Polar以更易於訪問的方式讓每個用戶發布了更多數據，其結果可能是災難性的。

家庭住址的泄漏

通過在一張地圖上顯示一個人的所有活動，Polar不僅泄漏了個人在軍事地點進行鍛煉的心率、路線、日期、時間、持續時間和速度，還泄漏了個人在自己家產生的相同信息。通過網站跟蹤所有這些信息是非常簡單的：找到一個軍事基地，選擇一個在那裡發布的鍛煉來識別相關的個人簡介，然後看看這個人還在哪裡鍛煉過。當人們離開或進入他們的家時，他們傾向於打開/關閉健身追蹤器，但卻無意中在地圖上標出了他們的房子。用戶經常在他們的個人資料中使用全名，並附上了個人資料圖片——即使他們沒有將自己的Facebook個人資料連接到Polar帳戶上。

Polar並不是唯一這樣做的應用，但它與其他流行健身平台（如Strava或Garmin）的不同之處在於，其他網站會要求你導航到特定的人，以查看他或她的活動記錄，而且每次鍛煉都有自己的小地圖。此外，他們還限制可以查看的鍛煉數量。Polar則將2014年以來，全球範圍內進行的所有個人鍛煉都顯示在一張地圖上，這讓情況變得更加糟糕。

因此，你只需要導航到一個地址，選擇一個在那裡鍛煉的個人檔案，你就可以獲得這個人的完整歷史。

別有用心

只需輕點幾下滑鼠，就能發現一個已知擁有核武器的空軍基地的高級官員清晨慢跑穿過該基地。在離基地不遠的一所房子，他又在周日凌晨跑了許多次。他最喜歡的路線是穿過森林，但有時他會在更遠的停車場開始和結束。個人檔案中顯示了他的全名。

通常隱藏在隱秘地點中的活動竟然以令人難以置信的細節暴露出來。在駐紮有武裝無人機的美國空軍基地，可以發現一名情報官員正在進行鍛煉。同樣，他的姓名和個人資料照片也是公開的。

我們可以通過Polar網站找到駐阿富汗的西方軍事人員。通過社交媒體核對一名士兵或軍官的姓名和個人資料照片，我們確認了他的身份。Polar展示了他在遍布中東的幾個軍事基地的跑步記錄，以及在紐約州一所房子處數十次鍛煉的開始和結束。Polar應用還告訴我們，2017年初，他去了美國西部，並在那裡騎了一輛自行車。他還在泰國逗留期間記錄了在一家酒店的鍛煉情況。所有這些活動都附有時間戳、他的確切路線、他的心率和他燃燒的卡路里量。

我們可以通過中東、南亞和非洲的其他軍事基地，找到西方軍人，並通過社交網路，包括LinkedIn，交叉確認他們的全名。我們在Polar網站上找到的可從公共信息中識別的個人，以及我們能找到家庭住址的個人包括：

在已知或被高度懷疑擁有核武器的基地進行鍛煉的軍事人員；

在情報機構、大使館、自己家庭和其他地點鍛煉的個人；

在聯邦調查局和國安局工作的人；

專門從事網路安全、信息技術、導彈防禦、情報等敏感領域的軍事人員；

服役於潛艇部隊，並在潛艇基地鍛煉的人；

核電廠管理和安全人員；

一家製造公司的CEO，他記錄了在世界各地的鍛煉情況；

巴格達和平區的美國人；

克里米亞的俄羅斯軍人；

關塔那摩灣的軍事人員；

駐紮在朝鮮邊界附近的部隊；

與伊斯蘭國作戰的飛行員。

這份清單並不詳盡。我們在Polar網站上收集到了200多個敏感地點，以及近6500個單一用戶的列表。這些用戶總共做了超過65萬次鍛煉，標記了他們的工作、生活和度假地點。

安全影響顯然是嚴重的。在一些國家，士兵們被禁止在街上穿著軍服，以免遇到潛在的恐怖分子。現在任何有互聯網接入和可以使用Polar網站的人都可以很容易地找到他人的地址和生活模式。按照目前的形式，在衝突地區不難找到士兵的部署時間、住所、照片和職能。不難想像極端分子或國家情報部門如何以危險的方式利用這些信息，尤其是那些有關多個核武器儲存地點人員的數據。

Polar開放數據集帶來的風險也對平民構成風險，因為懷有惡意的人可以使用Polar查看某個地區的用戶何時離開家或離開多長時間，如果他們還隨身攜帶了心率感測器，還可以查看他們何時出國。

開放的環境

註冊帳戶後，Polar要求你提供姓名、地點、身高、體重、出生日期、性別和每周鍛煉量。雖然你可以填寫虛假信息，但我們調查的大多數用戶都提供了看似可靠的信息。除了能夠將你的帳戶連接到Facebook之外，Polar還提供了與其他五個應用（包括Strava）的集成，以自動共享所有活動。

即使打開隱私設置，仍有大量數據可以獲得。以下是一些例子:

將隱私從「公開」更改為「關注者」，仍可讓個人資料顯示姓名、照片和他們在註冊時寫入的位置。如果用戶想要，還需要關閉允許其他人自動成為「關注者」的選項。

更改活動的隱私，甚至是最嚴格的隱私，只會影響新的活動。舊活動將保持可見。

其他健身網站，比如Strava，提供了自動阻止你的家庭或工作地點被公布的選項。但Polar沒有。

雖然可以刪除單個活動，但許多帳戶似乎記錄了數百個活動，要想一一刪除是非常繁瑣的。

地圖上有些活動是完全隱私的，與其他任何內容都沒有關聯。然而，一旦在同一家庭地址開始和結束的幾項私人鍛煉被找到，仍然有可能收集住在此處的人的信息。

連接到「私人」跑步的用戶ID很容易檢索，這意味著仍然可以將不同位置的鍛煉連接到一個人。

隱私政策已於2017年8月更新，新賬戶的默認設置確實被設置為最隱私的選項，這意味著用戶必須選擇加入共享。在回應我們的研究時，Polar表示，它已經意識到所披露資料的敏感性，並決定暫時中止「探索」功能。Polar現在也在研究解決這些問題的其他方法，比如增加一次性刪除運動歷史的功能。

缺點

與大多數開源軟體一樣，Polar的平台也有其局限性。Polar數據依賴於GPS，而GPS可能不準確，也可能被欺騙。此外，用戶可以（並且可能應該）在離他們家一定距離的地方打開/關閉他們的感測器。然而，在多次鍛煉後，起點和終點通常會集中到一個特定的住所，所以這一事實基本上否定了這一點。

這些數據往往足夠準確，可以告訴用戶何時在街上，或何時在某一特定房屋中。雖然在處理密集的城市和公寓大樓時會變得更加困難，不過大多數健身跟蹤器似乎可以相當準確地顯示海拔信息。比如說，我們跟蹤了一個在敏感地點工作的人，記錄顯示他回到了一個公寓大樓。這個人經常在大樓前的地面上開始跑步，但也偶爾會在更高的高度開始鍛煉。這兩個高度之間的差異，再加上坐標，可以與公寓樓內的精確樓層相匹配。

事情的核心

在網上找到士兵的姓名甚至地址本身並不新鮮。人們在不知不覺中留在網路中的數據量，長期以來一直引起公眾和政府的關注。單獨的社交媒體賬戶、帖子和信息可以拼湊在一起，以提供關於個人的相當完整的圖片。從數百篇來自開源網站的文章中可以看出，圖像和視頻揭示了大量信息，並可用於地理定位。而真正讓人感到新鮮的是，使用Strava等健身應用讓跟蹤個人變得很容易。

美國軍方已經審查了健身追蹤器的規則，其他國家也可能這樣做。然而，在許多軍事地點仍有可能發現大量美國用戶。還值得注意的是，這只是Polar心率監測器的數據，而世界上到處都是跟蹤設備和應用。例如，中國的健身應用已經被數億人所使用，而這些應用由政府資助，旨在發展「各種健身活動和特殊體育項目」。

健身設備和應用只是人們需要了解他們共享的數據類型的又一個領域，而這些數據恰恰也是他們所最依賴的。和往常一樣，檢查你的應用許可權，嘗試匿名化你的在線狀態，如果你仍然堅持跟蹤你的活動的話，請在公共區域開始和結束活動。最後，如果你想得到絕對的保證，要在未來的鍛煉中不會遇到數據陷阱，你可以把你的設備留在家裡，這樣你就可以實現匿名了。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！