Privacy bij sportapps vaak ondermaats

Een sportapp geeft vaak veel meer prijs dan de gebruiker denkt, zo stellen onderzoekers van de onderzoeksgroep imec-DistriNet aan KU Leuven.

Dagelijks worden miljoenen sportactiviteiten over de hele wereld gedeeld met andere app-gebruikers, in een zogenaamde virtuele ‘supporters community’.
Maar de activiteiten die gedeeld worden, zeggen ook veel over de gebruiker zoals vaste plekken en momenten waarop iemand gaat sporten, vaste routes, vaste vertrek- en aankomstpunten. En dat zijn vaak woon- of werkplekken.
Om die gegevens niet zomaar vrij te geven werken sociale netwerken zoals Strava vaak met ‘endpoint privacy zones’: ze laten gebruikers toe zones rond privacy-gevoelige locaties te verbergen, in een cirkel rond die plek waarvan ze zelf de grootte kiezen. Maar die aanpak creëert een vals gevoel van veiligheid, zo stellen onderzoekers van de imec-DistriNet groep aan KU Leuven.

“In het overzicht van de beschermde activiteit zitten nog zoveel gegevens over bijvoorbeeld de afgelegde afstand en gevolgde route dat die in combinatie met een stratenplan, de vertrek- of aankomstpunt toch prijsgeven”, zegt onderzoeker Karel Dhondt van KU Leuven Gent - Campus Rabot.
Veel gebruikers zijn zich wel bewust van het risico dat het delen van activiteiten op deze apps  met zich meebrengt. Zo waren er in het verleden berichten over hoe militairen onbewust de locatie van geheime militaire locaties prijs gaven door hun looprondjes te delen. Of berichten over sporters wiens dure fietsen gestolen werden nadat dieven hen op Strava in de gaten hielden. Dus ook de nieuwe mogelijkheden om locatiegegevens te beschermen zijn niet waterdicht, zo blijkt uit het onderzoek.
De onderzoekers hebben hun bevindingen aan de respectievelijke platformen bezorgd, en zitten binnenkort samen met Strava om hun voorstellen voor verbeteringen te bespreken. 

Tips & tricks 
“Als gebruiker kan je je privacy op sportapps beter beschermen. Een privacy zone instellen is sowieso nog altijd een goed idee, maar maak de zone rond plekken die je verborgen wil houden groot genoeg. Vaak is het minimum 200 meter, maar kan je de zone vergroten tot meer dan een kilometer. Hoe groter hoe beter”, aldus onderzoeker Karel Dhondt. Daarnaast is meer variëren in de start- en aankomstplek ook een effectieve strategie.
De onderzoekers bouwden ook een online toepassing die ze Priva doopten, die hun inzichten gebruikt om sportactiviteiten beter te beveiligen. De gebruiker kiest er een locatie die hij wil beveiligen en de toepassing kiest dan de beste grootte van de zone die onzichtbaar wordt gemaakt. 
De studie wordt op 9 november voorgesteld op de beveiligingsconferentie ACM Conference on Computer and Communications Security (CCS) in Los Angeles.

> De volledige studie is hier beschikbaar: A Run a Day Won't Keep the Hacker Away: Inference Attacks on Endpoint Privacy Zones in Fitness Tracking Social Networks

U wil op dit artikel reageren ?

Toegang tot alle functionaliteiten is gereserveerd voor professionele zorgverleners.

Indien u een professionele zorgverlener bent, dient u zich aan te melden of u gratis te registreren om volledige toegang te krijgen tot deze inhoud.
Bent u journalist of wenst u ons te informeren, schrijf ons dan op redactie@rmnet.be.