Falha em app de exercícios pode revelar endereços dos usuários

O aplicativo de exercícios Strava está, mais uma vez, na mira dos especialistas em segurança. De acordo com um relatório da Wandera, uma companhia especializada em proteção digital, é possível encontrar o endereço real dos usuários do software por meio de uma análise do mapa de utilização. E, o pior de tudo, essa revelação acontece não por meio de brechas de segurança, mas sim, devido a características do próprio sistema.

O principal recurso do Strava é a criação de mapas que mostram o caminho percorrido pelo usuário durante a prática de exercícios. Quem quiser pode deixar um ponto de origem ou destino oculto, para que ele passe a aparecer apenas como um círculo no percurso, indicando sua localização geral. A partir dessa característica é possível fazer uma triangulação para determinar o ponto exato de chegada.

Aqui, entram em ação conceitos de geometria. O aplicativo acompanha diretamente o caminho do usuário até que ele atinja um perímetro mínimo, nos arredores do local confidencial, com o momento em que ele entra nessa zona sendo registrado. Como os círculos exibidos no mapa sempre são do mesmo tamanho, é possível aumentar proporcionalmente o diâmetro deles, a partir dos “endpoints”, como são chamados, até que três deles se encontrem.

Na intersecção dos círculos está, justamente, o local marcado pelo usuário como privado. Para os especialistas da Wandera, para criminosos especializados em ataques direcionados, obter tal informação é uma tarefa simples, que pode levar a efeitos bastante graves como ataques diretos, sequestros ou golpes.

Trata-se, ainda, do que seria uma desatenção grave. Ao perceber a abertura, os especialistas deram uma olhada em outros aplicativos de exercícios e localização, descobrindo que o Strava é o único a apresentar círculos de tamanho idêntico, enquanto todos os outros trabalham de maneira aleatória, justamente para evitar a triangulação.

Em comunicado, a Strava disse que seus times de software e engenharia estão sempre trabalhando no incremento das opções de privacidade e segurança disponíveis para os usuários. A empresa não falou sobre a abertura em si, dizendo apenas que, nas próximas semanas, novos recursos de segurança devem ser adicionados ao aplicativo.

É a segunda vez que a empresa se vê no meio de problemas desse tipo. No final de janeiro, o Strava também esteve no centro de uma brecha que estava revelando a localização de bases militares secretas em países do Oriente Médio. A revelação foi feita a partir de dados públicos dos usuários – nesse caso, soldados que estavam compartilhando suas rotinas de exercícios por meio do app.

Trajetos constantes em regiões isoladas de países como Afeganistão e Iraque estariam sendo os responsáveis pela revelação de pontos secretos, muitas vezes, estratégicos para os esforços de segurança nacional dos Estados Unidos. A revelação motivou uma investigação por parte das autoridades americanas, enquanto a empresa responsável pelo software se eximiu de responsabilidade, afirmando apenas que ajudaria os envolvidos a trabalharem melhor com suas opções de privacidade, principalmente quando elas estão relacionadas a áreas restritas.

Fonte: Wandera