Je loopt meer in de kijker dan je denkt: privacy bij sportapps vaak ondermaats

Sport- en fitness apps, zoals Strava, winnen jaar na jaar aan populariteit. Het zijn ook vaak echte sociale netwerken geworden. Je deelt er zeer persoonlijke gegevens, en soms onbewust ook je woon- of werklocatie als startpunt van je sportactiviteiten. De apps laten je meestal toe die locaties te verbergen, maar onderzoekers van de onderzoeksgroep imec-DistriNet aan KU Leuven ontdekten dat die optie in vele gevallen een vals gevoel van veiligheid geeft. Strava heeft de onderzoekers al uitgenodigd om hun conclusies samen te bekijken.

De populaire sport app Strava telde eind mei 2022 meer dan 100 miljoen gebruikers in 195 landen. Runtastic van Adidas heeft zelfs 182 miljoen geregistreerde gebruikers. Dat zijn slechts twee voorbeelden van de populariteit van sociale netwerken rond sport. Dagelijks worden miljoenen sportactiviteiten over de hele wereld gedeeld met vrienden en andere app-gebruikers, een virtuele supporters community.
Maar de activiteiten die je deelt vertellen ook veel over jezelf. Heel vaak kan je er patronen in ontdekken: vaste plekken en momenten waarop je gaat sporten, vaste routes, vaste vertrek- en aankomstpunten. En net die laatste zijn ook vaak woon- of werkplekken.

Een vals gevoel van veiligheid

Om die gegevens niet zomaar vrij te geven werken de sociale netwerken zoals Strava vaak met endpoint privacy zones: ze laten je toe zones rond privacy-gevoelige locaties te verbergen, in een cirkel rond die plek waarvan je zelf de grootte kiest.

Maar die aanpak creëert een vals gevoel van veiligheid, toonden onderzoekers van de imec-DistriNet groep aan KU Leuven aan.

“In het overzicht van je beschermde activiteit zitten nog zoveel gegevens over bijvoorbeeld de afgelegde afstand en gevolgde route dat die in combinatie met een stratenplan, je vertrek- of aankomstpunt toch prijsgeven”, zegt onderzoeker Karel Dhondt van KU Leuven Gent – Campus Rabot.

Afbeelding: de cirkel toont de “privacy zone” die een sporter kan aanduiden. Maar die ligt op een stratenplan dat toont waar de sporter die zone binnengaat. Combineer dat met het feit dat je ook weet hoeveel afstand de sporter nog heeft afgelegd, en dat voor meerdere loopactiviteiten (oranje, groen en blauw), en je kan makkelijk tot 1 concreet punt komen waar de sporter waarschijnlijk woont of werkt.

De onderzoekers ontwikkelden een zogenaamde inference attack en pasten die toe op geanonimiseerde activiteiten die werden gedeeld op sportapps.

“Zo konden we bij de 1,4 miljoen Strava-activiteiten die we analyseerden tot 85 procent van de verborgen locaties toch blootleggen, puur op basis van de extra gegevens die publiek werden prijsgegeven”, zegt onderzoeker Victor Le Pochat van de imec-DistriNet onderzoeksgroep.

Veel gebruikers zijn zich wel bewust van het risico dat het delen van activiteiten op deze apps met zich meebrengt. Zo waren er in het verleden berichten over hoe militairen onbewust de locatie van geheime militaire locaties prijs gaven door hun looprondjes te delen. Of berichten over sporters wiens dure fietsen gestolen werden nadat dieven op Strava op de loer lagen. Maar dus ook de nieuwe mogelijkheden om je locatiegegevens te beschermen zijn niet waterdicht.

Oplossingen

De onderzoekers hebben hun bevindingen aan de respectievelijke platformen bezorgd, en zitten binnenkort samen met Strava om hun voorstellen voor verbeteringen te bespreken.

De apps zouden de info over de afstand die je aflegt binnen de verborgen zone beter kunnen verbergen voor buitenstaanders, of zelfs helemaal weglaten. Al heeft die laatste ingreep een zware impact voor de gebruikers aangezien de activiteit dan niet meer volledig wordt opgenomen. Ze zouden ook de vorm en grootte van de zones die verborgen worden (nu meestal cirkels) meer kunnen variëren.

“Ook als gebruiker kan je je privacy op sportapps beter beschermen. Een privacy zone instellen is sowieso nog altijd een goed idee, maar maak de zone rond plekken die je verborgen wil houden groot genoeg. Vaak is het minimum 200 meter, maar kan je de zone vergroten tot meer dan een kilometer. Hoe groter hoe beter”, benadrukt onderzoeker Karel Dhondt. Daarnaast is meer variëren in je start- en aankomstplek ook een effectieve strategie.

Priva

De onderzoekers bouwden ook een online toepassing, die ze Priva doopten, die hun inzichten gebruikt om je sportactiviteiten beter te beveiligen. Je kiest er een locatie die je wil beveiligen en de toepassing kiest voor jou de beste grootte van de zone die onzichtbaar wordt gemaakt.

Meer informatie

• De studie wordt op 9 november voorgesteld op de toonaangevende beveiligingsconferentie ACM Conference on Computer and Communications Security (CCS) in Los Angeles.
• De volledige studie is hier beschikbaar: A Run a Day Won’t Keep the Hacker Away: Inference Attacks on Endpoint Privacy Zones in Fitness Tracking Social Networks
• Het onderzoek werd ondersteund door het Bijzonder Onderzoeksfonds KU Leuven en het Vlaams Onderzoeksprogramma Cybersecurity. Mede-onderzoeker Victor Le Pochat werd tijdens het onderzoek ondersteund door het Fonds Wetenschappelijk Onderzoek – Vlaanderen.

Contact

Karel Dhondt, onderzoeker KU Leuven Gent, Campus Rabot.