高度警惕智能手机健身追踪应用软件等成为泄密新方式
当前,很多单位和个人运用智能手机的同时,都下载安装了不同类型的健身APP,既为锻炼身体,又可以详细记录自己的活动轨迹。殊不知,这些APP已在不自觉中泄露了当事人行动过程中的重要信息数据,特别是那些从事军事情报科研等涉及高度机密的人员。对此,须要引起高度警惕。
一、我国常见的违规搜集信息的健身AP
(一)工作原理。在健身追踪应用软件的应用程序中,它要求用户每次开始和结束都向某一特定分析服务网站发送具体的信息。传送中,应用程序会为应用实例发送一个唯一的ID账号,并传输追踪到的信息。根据这些信息,收到到数据的第三方平台可以知道设备主人的生活习惯、运动轨迹等数据信息。
(二)我国常见的违规搜集信息的健身APP类型。据《马拉松跑步》2021年6月13日援引的信息,称悦跑圈、步多多等34款主流APP都在违规收集大家的信息。一是北京卡路里科技有限公司的Keep;二是深圳市欢太科技有限公司的健康APP;三是上海序言泽网络科技有限公司的步多多;四是深圳市悦动天下科技有限公司的悦动圈;五是深圳市众邦成贸易有限公司的跑步赚钱;六是成都乐动信息技术有限公司的咕咚;七是华米(北京)信息科技有限公司的小米运动;八是广州悦跑信息科技有限公司的悦跑圈;九是华为终端有限公司的运动健康;十是缤刻普锐(北京)科技有限公司的PICOOC;十一是珠海云麦科技有限公司的好轻;十二是橙狮体育(北京)有限公司的乐动力;十三是湖南简成信息技术有限公司的多悦;十四是深圳市乐心医疗电子有限公司的乐心健康;十五是咪咕互动娱乐有限公司的咪咕善跑;十六是鹰隼信息科技(宁波)有限公司上海分公司的欢乐走;十七是北京动如脱兔科技有限公司的火辣健身;十八是乐跑体育互联网(武汉)有限公司的步道乐跑;十九是安徽华米信息科技有限公司的Zepp;二十是上海展盟网络科技有限公司的步天天;二十一是上海去动网络科技有限公司的Fit健身;二十二是上海寰昌信息科技中心的运动赚钱;二十三是同方健康科技(北京)股份有限公司的好体知;二十四是北京唤醒之光网络科技有限公司的Wake瑜珈;二十五是深圳市腾进达信息技术有限公司的乐动健康;二十六是长沙数趣科技有限公司的走路赚钱乐—红包多多;二十七是霍尔果斯小迈网络科技有限公司的悦步宝;二十八是深圳市维亿魄科技有限公司的HBand;二十九是杭州寻联网络科技有限公司的享睿;三十是上海广乐网络科技有限公司的开心走路—幸福里程;三十一是上海嵩恒网络科技股份有限公司的走步宝;三十二是上海兰智网络科技有限公司的趣步行;三十三是上海小腰信息科技有限公司的即刻运动;三十四是广州市厚丰信息技术有限公司的路多多。
二、近年来智能手机健身APP泄露信息典型案例
(一)芬兰手机应用软件Polar。如瑞士资讯2018年7月10日援引法新社报道称,荷兰安全研究人员发现供用户记录健身数据的芬兰手机应用软件Polar,泄露69国军事及情报人员的敏感资料,他们可找到约6000 人个人资料,包括数10国军事人员、美国联邦调查局及国家安全局的职员。安全研究员波斯特玛与荷兰媒体“De Correspondent”联手调查这起事件时称,只需稍稍点击几下,就可以得知存放核武的空军基地,一位高阶军官上午在院区慢跑。他们可以通过Polar掌握驻扎阿富汗的西方军事人员的资料,然后在社交媒体上交叉比对姓名及头像,便可确认一名士兵或军官的身份。研究人员表示,这项调查发现军人、潜艇人员、驻伊拉克首都巴格达的美方人员及克里米亚的俄罗斯军人等详细的个人资料,其中包括他们的家庭地址。
(二)运动应用软件Strava。Strava是一款户外运动健身追踪应用,该应用程序使用手机的GPS追踪用户何时何地进行锻炼,并通过分享进行社交。2017年11月,Strava用两年时间积累的用户数据,制作发布了一幅“全球运动热力地图”。图片显示了来自世界各地用户的活动,其中包含三万亿个经纬度点上用户们进行的十亿次活动。2018年1月28日,澳大利亚学生纳森·鲁泽研究这份热力图后,通过分析特定区域的一些运动轨迹,找到了美俄等国设在叙利亚、伊拉克和阿富汗等国的基地,有的从未向外界公布过。纳森·鲁泽公布发现后,越来越多的基地通过这种途径被“挖掘”出来,其中包括美国中情局在索马里摩加迪沙的基地、俄罗斯在叙利亚的赫梅米姆空军基地等。而且,从热力图的轨迹中,能看到的不仅仅是基地的位置,基地内部的人员轨迹也清晰可见,专业人士可从中研究出这些军事设施的运转方式。美国冲突分析研究所成员纳森·鲁瑟在Twitter上指出,这张热力图很容易被利用,并与已知的军事设施的地点进行交叉参考。在叙利亚、阿富汗等地,使用这款应用的几乎都是外国军人。在阿富汗某些地方,前方军事基地的位置都被用户活动标记了出来,如果继续放大,人们就可以看到士兵们清晰的慢跑路线。除了这些直接存在冲突的地区,其他地区的敏感信息也存在泄漏的危险。Strava热力图中揭示的数据不仅限于美国的军事基地,还涉及了某些阿富汗、吉布提、朝鲜、俄罗斯、中国、英国和叙利亚等国的基地。在这些地区,亮点几乎都是来自外国军事基地,其中许多是美军基地,甚至是秘密基地。公开的“热力地图”对美国军事安全具有很大危害,因为人们“可以明确识别并能在地图上找到美军基地”。
(三)健身软件FitMetrix。该软件开发公司泄露119GB用户数。FitMetrix是一家健身技术和性能跟踪公司,主要为健身房和小组课程建立健身追踪软件,显示心率及其他健身指标信息,以进行交互式锻炼。一名研究人员在3台未受保护的服务器上发现了数百万FitMetrix用户的个人资料。目前,尚不清楚这些服务器已在线暴露了多久。据悉FitMetrix通过这台服务器暴露的不仅限于用户个人信息,还包括一些有关设施和其他数据点的信息,具体包括用户的姓名、性别、出生日期、电子邮箱地址、电话号码、健身地点以及紧急联系人等等,目前还不知道有多少人已经访问了这组数据库。
(四)健身软件Under Armour。该健身软件泄露1.5亿用户信息。2018年3月,美国体育运动装备品牌Under Armour旗下的健康和健身追踪应用MyFitnessPal遭到黑客攻击,大约有1.5亿用户受到影响。据悉,受影响的个人信息包括用户名、电子邮件地址和哈希密码。
(五)健身软件PumpUp。该健身软件泄露了600万用户健康数据。2018年6月,位于加拿大安大略省的PumpUp公司发布声明称,旗下同名社交健康追踪应用无意中暴露了用户的隐私和敏感数据,包括用户之间发送的健康信息和个人信息。该应用用户可以分享自拍和健康秘诀、制定和保存定制式锻炼计划以及从健身教练和其他用户那里获取建议。另一方面,它也可以被用来追踪用户活动,如消耗的热量、锻炼时间、锻炼进展等。以上所有这些数据都被存储在一个核心的后端服务器,并托管在亚马逊的云端。然而,安全研究员发现,该服务器并没有设置密码,这使得任何人都能够查看都有谁在进行登录、谁在实时发送消息以及消息的内容。暴露的数据主要包括用户的电子邮箱地址、出生日期、性别和用户所在位置的地理信息,以及用户的生物特征、锻炼和活动目标、用户头像,还有用户是否已经被屏蔽、是否对应用进行了评分。此外,该应用还暴露了用户提交的健康信息,如身高、体重、咖啡因和酒精摄入量、吸烟频率、健康问题、药物和受伤处等。
(六)智能手机本身。国防大学教授李大光认为,“在当今信息社会,每名手持智能手机的官兵都有可能成为信息源、定位点,一些看似平常的操作,却容易导致泄密,难以防范。”一是网上“云端”共享通讯录和短信,其中如果带有联系人职务和办公电话号码,一旦泄露,后果堪忧。二是手机直播共享图像,一不小心展示营区营貌,有可能成为敌特分子觊觎的目标。一张不经意间的自拍通过网络分享给好友,但照片里很可能蕴含着包罗万象的数据信息,极易泄露国家和军队的秘密,造成不可挽回的损失……三是网约车、订外卖需要位置共享,依赖的是“基于位置服务”的技术,通常会在手机系统后台启动并进行定位。如此一来,很容易暴露部队营区、重要军事目标和军事设施的地理位置。四是通过蹭网共享营区外的WiFi,如果无线网络被注入恶意代码,联网电子设备的私密涉军信息很可能就此泄露。五是朋友圈晒图、健步软件显示运动轨迹。如果不注意场合时机,这些“无意识泄密”都可能造成军人个人信息以及军事秘密的泄露。六是智能手机用户熟知的微博、微信、手机QQ等社交应用APP,均具备定位功能,用户如打开定位服务且批准相关应用的位置使用权限,其所发图片也会标注位置信息。微信的共享位置信息功能还能实现精确定位。它会一直跟踪记录你的出行路线,记录你常去的位置,根据数据分析,则能判断你的家庭住址,工作单位,经常出入的场所等。
三、对策建议
(一)制定相关使用管理规定。制定出台《个人互联网终端使用管理规定》,明确各类终端申报审批、对象范围、使用时机、纪律要求等,使官兵心有所畏、言有所戒、行有所止。
(二)用科技手段筑牢“安全防护墙”。建立专用数据通道、隐藏个人信息、植入管控软件……如通过与地方合作,建立推广“军营手机安全管理平台”,给每部手机植入应用软件,实现管控平台对每名官兵的手机实现时间、地域、功能、数据等方面的精准管控,及时消除网上安全隐患,有效避免失泄密问题发生。
(三)提高预防能力。要提高个人特别是军人信息安全防范和保密意识,从源头上切断泄密渠道。比如,定期组织官兵学习智能手机使用规定,用常态化网络安全警示教育筑牢思想防线。严禁用手机谈论发送涉军敏感信息,严禁将手机带入涉密场所,严禁在通讯录中记录人员职务、部队番号等敏感信息,尤其是不能将涉军敏感信息存储备份到网络“云盘”,严禁在营区内使用GPS定位和微信、QQ、陌陌、导航等软件的精确定位、实时搜索、自动寻找好友等功能。严格规范官兵使用打车软件、外卖软件的地点、场所、时间,在营区外设置快递代收点,防止暴露重要军事设施的地理坐标。在重大军事行动当中必须严格实行电子设备的物理隔绝措施,就是所有人员都不能携带民用电子设备,不光是手机,包括iPad、笔记本电脑,再者像智能手环这样的可穿戴电子设备,包括车载导航仪等等,在作战任务面前,所有这些时髦的民用电子设备都必须放下,否则你就会暴露行踪,引来杀身之祸。普通用户在进行地理位置公开时,应当考虑开启隐私区设定,避免泄漏住宅 2 km之内的位置记录。
(四)严格限制个人穿戴设备和智能手机定位功能。随着各类健身追踪器以及智能手机运动功能的普及化,大多数人难以避免地使用上述功能,并出入各种场所。对此,涉密人员如军队等必须对这类设备或软件的使用做出严格的规定和规范,特别是在导弹阵地、指挥所等重要场所,防止军人位置的“大数据”泄露秘密。
注:部分内容来源于网络,如有版权问题请后台留言删除。
赞 (0)