西方健身軟件再曝泄密隱患

本報特約記者 張亦馳 魏云峰

繼Strava健身軟件的“全球熱力圖”泄露美俄海外軍事基地事件之后，另一款健身軟件8日再曝泄密事件。荷蘭新聞網站DeCorrespon?dent和開源調查網站Bell?ingcat的共同調查發現，在西方廣泛使用的一款健身應用程序泄露了用戶的各種信息，可以輕易發現在軍事基地、間諜機構工作的敏感人員個人資料。專家表示，盡管這款健身軟件目前在國內使用尚不算普遍，但接連發生的泄密事件顯示，防止健身手環、運動手表這類可穿戴電子設備和相關健身軟件的大數據泄密，必須提上議事日程。

“網上找間諜”

報道稱，芬蘭“極地”公司是西方流行的健身軟件“極地流動”的開發商。后者通過該公司生產的多型便攜式設備，可以記錄和上傳用戶的體重、運動軌跡等信息。但調查發現，通過該軟件記錄的鍛煉信息，足以識別出在軍事基地和政府大樓工作人員的姓名、住址等詳細資料，包括那些“參與打擊‘伊斯蘭國的戰斗機飛行員”。

調查發現，只需要從“極地流動”軟件中獲取“開發者文檔”，相關人員不僅可以瀏覽用戶共享的公共數據，還可以得到那些將個人資料設置為隱私的用戶的健身蹤跡信息，這些信息涉及數百萬使用該軟件的用戶。

據介紹，要查閱這些個人信息并不難——只需要找到一個已知的軍事基地或政府部門，選擇一個曾在附近發布過鍛煉信息的用戶來識別相關的個人簡介，然后看看這個人還在哪里鍛煉過。由于人們傾向于到家時關閉或離家時啟動健身追蹤器，這種習慣無意中在地圖上標記出自己的家庭住址。另外，用戶經常在個人資料中使用全名，并附有自己的資料圖片。利用這些信息，就可以交叉確認用戶的全名、家庭住址、工作地點以及習慣的行進路線等。

由于沒有限制，調查人員已經確定超過6400名被認為在敏感地點工作的用戶。報道稱，調查記者輕易地找到美國國家安全局、美國特勤局、英國軍情六處以及俄羅斯、法國、荷蘭多家情報機構工作的人員姓名和地址。該數據還可以識別核儲存設施、導彈發射井、監獄和關塔那摩等地的工作人員。用這個方法，在美國敏感政府所在地附近工作的外國軍事和情報人員的信息也同樣暴露無遺。“外國情報機構或心懷惡意者同樣容易得到相同的數據”，不難想象極端分子或外國情報部門如何以危險的方式利用這些信息，尤其是那些有關多個核武器儲存地點人員的數據。

即便對于普通用戶，這些個人信息的泄露也構成風險，因為懷有惡意的人可以使用該軟件查看某個地區的用戶何時離開家或離開多長時間。

今年第二起泄密事件

盡管報道指責“極地”公司允許用戶查看特定個人的所有鍛煉信息是導致這次泄密事件的根源，不過該公司顯然不想“背鍋”。報道稱，在一份聲明中，“極地”公司表示已暫停相關功能，但否認有任何信息泄露。

實際上，確實也很難讓軟件開發商為這類事件“買單”。專家表示，這已經是今年第二起因為健身軟件引發的潛在敏感信息泄露事件了。在今年初發生的Strava健身軟件的“全球熱力圖”泄密事件中，由于該軟件可以記錄全球2700萬使用者上傳的每一次健身活動和移動情況，并將這些信息分享給他人，結果一系列隱秘的軍事基地在“全球熱力圖”上暴露無遺。通過對海量數據的綜合，該軟件曝光了美俄等國的軍事基地、秘密設施和軍事巡邏路線。“如果士兵像一般人一樣使用該應用，他們的鍛煉路線就會被清晰地追蹤到，這對于軍人而言是相當危險的。”但即便如此，相關廠商沒有受到懲罰，只是關閉相關服務了事。

中國怎么辦？

這兩起讓西方大為震動的泄密事件主要是因為健身應用獲取的眾多用戶位置信息容易被得到和分析，盡管單個數據還不足以構成泄密風險，但是對大量數據的分析，就可能暴露很多敏感信息。上次是用戶的“熱力圖”暴露了秘密的軍事基地，此次則是通過敏感單位地址，找到在這些單位工作的軍事人員或情報人員。

值得警惕的是，目前國內的健身應用程序和硬件也越來越普及，相關軟硬件的開發商應該在技術上做好防范，防止大數據泄露導致的泄密風險，杜絕發生類似的事件。

對于軍方來說，也必須要把防范個人可穿戴電子設備、手機的位置信息泄密提上議事日程。專家表示，對此可以分步進行，比如先對現有的運動手環和運動應用甚至是手機采取審核準入機制，軍人只能使用經過審核的相關軟硬件。美國國防部就已采取類似的措施。其次，適時研發適合軍人使用的手機，考慮取消攝像攝影、位置共享等。第三，對于極為敏感的崗位人員，要嚴格限制在工作地點使用智能手機。▲