Brecha de segurança no app Strava permite descobrir endereços de usuários
Por Felipe Demartini | Editado por Wallace Moté | 13 de Junho de 2023 às 19h00
Uma brecha de segurança e privacidade no Strava, um dos mais conhecidos apps de exercícios físicos do mundo, permite descobrir o endereço residencial dos usuários. A exposição acontece por meio de uma análise de mapas de calor, que contém dados anônimos, com identificadores dos perfis públicos dos utilizadores, cujo cruzamento possibilita identificar rotas percorridas e pontos de partida ou chegada.
A exploração foi descoberta pelos pesquisadores da Universidade Estadual da Carolina do Norte, nos Estados Unidos, que demonstraram como o uso de técnicas avançadas de monitoramento pode ser usado para agregar dados pessoais dos usuários do Strava. O resultado foi uma taxa de sucesso de 37,5% na obtenção de informações privadas dos utilizadores.
Oficialmente, os mapas de calor do Strava servem para dar maior segurança aos praticantes de cooper, corrida e ciclismo, indicando quais os espaços mais movimentados para a prática de exercícios. No estudo, os especialistas coletaram tais dados ao longo de um mês, em grandes cidades de três estados americanos. Depois, usaram ferramentas para detectar pontos de origem e destino dos usuários, estabelecendo uma alta chance de aquela ser a residência ou, então, o local de trabalho deles.
/i752586.jpeg)
Depois, foi utilizado um recurso de busca por perfis públicos de usuários dos mesmos municípios, utilizando informações como distâncias percorridas e os horários em que eles praticaram exercícios. No cruzamento destes dados, foi possível identificar pessoalmente as rotas realizadas por muitos deles, algo confirmado na comparação das informações resultantes com registros de eleitores dos três estados.
A taxa de sucesso de 37,5% leva em conta uma margem de erro de menos de 100 metros do endereço real, com alguns milhares de usuários detectados. A pesquisa chegou a obter informações para um total de mais de 12 mil pessoas, mas com um raio de até um quilômetro de extensão nos casos em que a varredura se saiu pior.
Na visão dos pesquisadores, a exploração da brecha leva a uma progressão: utilizadores constantes do Strava podem ser mais facilmente identificáveis quando residem em cidades com menor número de usuários. A recíproca também é verdadeira, com metrópoles que geram alto fluxo de dados tornando mais difícil a identificação direta de uma pessoa.
Não é a primeira vez, também, que o Strava é citado na imprensa de tecnologia por possibilitar localizar usuários a partir de recursos públicos. Em 2018, um relatório mostrou como seria possível usar triangulação para localizar endereços configurados como privados pelos utilizadores, a partir de mapas de percurso individuais. Na ocasião, a empresa disse que adicionaria novos recursos ao aplicativo para evitar esse tipo de exploração.
Como evitar a exposição dos dados de localização?
/i617404.png)
Os pesquisadores da universidade americana disseram ter informado o Strava sobre a exploração, com a empresa não respondendo a eles ou à imprensa. Comunicados públicos também não foram feitos pela rede social, que também não realizou alterações nos recursos que possibilitaram a descoberta dos endereços de quase 40% dos usuários nas regiões analisadas.
A eles, a recomendação de segurança é para que comecem a registrar suas rotas de exercícios a alguns metros ou quarteirões de casa ou dos locais que desejarem manter privados. A inclusão das informações pessoais nos mapas de calor também vem ativada por padrão no app do Strava, mas pode ser ativada nas configurações caso o utilizador deseje.
Ainda, os pesquisadores recomendam à plataforma a criação de um recurso que possibilite criar “zonas de exclusão”, bem como algoritmos que detectem automaticamente os locais de chegada e partida dos usuários, para que não sejam incluídos no mapa de calor. O recurso, apontam, é útil do ponto de vista da segurança pessoal dos atletas, e pode continuar como tal com uma proteção ainda maior sobre as informações de localização.