Breşă în aplicaţia de fitness Strava, folosită pentru a spiona soldaţi şi baze militare din Israel

(Getty Images)

Profiluri false a folosit populara aplicaţie de exerciţii fizice Strava pentru a spiona personalul de securitate israelian care lucrează în locuri sensibile din Israel, a dezvăluit, marţi, un nou raport al organizaţiei de monitorizare israeliene FakeReporter, transmite The Jerulasem Post.

Riscurile de securitate asociate cu aplicaţia Strava au fost semnalate pentru prima dată în 2018, când The New York Times a relatat că analiştii au avertizat că o funcţie “Heatmap” de pe Strava, care arată traseele de alergare ale tuturor utilizatorilor Strava care şi-au făcut publice postările, ar putea fi folosită pentru a identifica utilizatorii individuali prin încrucişarea datelor Strava cu alte utilizări ale reţelelor sociale.

Funcţia “Heatmap” a dezvăluit în special locaţiile bazelor militare din întreaga lume, cu semnături în bazele americane din ţări precum Afganistan, Irak şi Siria.

Breşele de securitate posibile prin intermediul aplicaţiei au fost exacerbate cu funcţia “Segmente”. Încă din 2018, utilizatorii de reţele sociale şi analiştii semnalau faptul că funcţia “Segmente” ar putea fi folosită pentru a crea o listă cu persoanele care au parcurs un anumit traseu, inclusiv în interiorul unor locaţii sensibile.

Actorii rău intenţionaţi ar putea folosi Heatmap pentru a găsi rutele frecvent traversate şi apoi să creeze “segmente” de-a lungul acestor rute pentru a expune un număr mare de utilizatori.

Este posibil să ascundeţi activitatea de exerciţii fizice pentru ca aceasta să nu apară în funcţia “Segmente”, dar pentru a face acest lucru, utilizatorii trebuie să seteze fiecare activitate ca fiind “privată”, chiar dacă profilul lor general este deja setat ca fiind “privat”.

FakeReporter, care utilizează crowdsourcing pentru a identifica, expune şi dezactiva atacurile şi activităţile frauduloase, a început să investigheze problema după ce a primit o informaţie despre o activitate suspectă în aplicaţia Strava. Informaţia a dezvăluit un profil anonim care încărcase date GPS artificiale în interiorul unor baze ale Forţelor de Apărare Israeliene (IDF) şi al unor facilităţi de securitate sensibile.

Profilul anonim, cu numele de utilizator “Ez Shl”, a creat segmente artificiale cu datele GPS, folosind Heatmap, pentru a identifica rutele cu cele mai mari şanse de a găsi un număr mare de utilizatori. Potrivit raportului FakeReporter, natura unică a activităţii profilului indică faptul că utilizatorul intenţiona să producă “Segmente” în zone sensibile din punct de vedere al securităţii din Israel, pentru a colecta informaţii despre persoanele care servesc în acele locaţii clasificate.

Segmentele artificiale au fost amplasate în apropierea unor locaţii precum sediul Mossad, baza Kanaf 2 a Forţelor Aeriene Israeliene, o bază din apropierea reactorului nuclear din Dimona, baza Bahad 1 şi baza Palmachim, printre altele.

Prin intermediul aplicaţiei, profilul fals a reuşit să dezvăluie identitatea unor utilizatori, locaţiile pe care le-au vizitat aceştia în întreaga lume, rudele şi colegii lor, adresele de domiciliu şi multe altele. Profilul a reuşit să colecteze date care ar putea ameninţa Israelul, inclusiv detalii despre baze secrete şi numele şi datele personale ale unor soldaţi, ofiţeri şi oficiali ai Ministerului Apărării.

Profilul anonim a fost activ în 2019 şi protocoalele IDF au fost actualizate după semnalarea breşei de securitate.

FakeReporter a avertizat că această breşă ar putea fi, de asemenea, folosită pentru a colecta informaţii personale de la utilizatori din întreaga lume, punând în pericol de expunere personalul sub acoperire şi unităţile de securitate sensibile. Organizaţia de supraveghere a adăugat că sunt necesare cercetări suplimentare pentru a determina dacă această breşă a fost deja folosită împotriva altor ţări.

“Am contactat forţele de securitate israeliene de îndată ce am luat cunoştinţă de această breşă de securitate. După ce am primit aprobarea din partea forţelor de securitate pentru a continua, FakeReporter a contactat Strava, iar aceştia au format o echipă de seniori pentru a rezolva problema”, a susţinut Achiya Schatz, director executiv al FakeReporter.

“Deşi Strava a făcut actualizări semnificative ale setărilor de confidenţialitate, utilizatorii confuzi ar putea fi în continuare expuşi public, chiar dacă profilurile lor au fost setate pe ‘privat’. Prin exploatarea capacităţii de a încărca fişiere proiectate, dezvăluind detaliile utilizatorilor de oriunde din lume, elementele ostile au făcut un pas alarmant pentru a exploata o aplicaţie populară în scopul de a afecta securitatea cetăţenilor şi a ţărilor deopotrivă”, a adăugat Schatz.

Un purtător de cuvânt al IDF a oferit următorul răspuns la raportul privind Strava:

“În general, IDF, cu diferitele sale organisme, este conştient de ameninţările care se dezvoltă în lumea internetului. Pentru a le face faţă şi în urma unor incidente anterioare, cum ar fi cel în cauză, procedurile sunt transferate periodic către funcţionarii aflaţi în poziţii sensibile”.