Bezpieczeństwo

Popularna aplikacja fitness ujawniła wrażliwe dane wojskowych

JS
Jakub Szczęsny
6

Aplikacje fitness w wojsku to nie wymysł głównie zachodnich formacji - jak się okazuje również w Polsce można znaleźć wielu pracowników militarnych, którzy chętnie korzystają z tego typu dobrodziejstw. Jak się okazuje, Polar ma spory kłopot ze swoim programem. Jak wykazali dziennikarze, aplikacja służąca do zbierania oraz analizowania danych pozwalała na nieautoryzowany dostęp wrażliwych informacji także pracowników wojskowych.

Polar to firma, która produkuje zegarki przeznaczone do korzystania z nich w kontekście szeroko pojętej aktywności fizycznej. Urządzenia ubieralne są powiązane z aplikacją - usługą Polar Flow, która śledzi postępy użytkowników, także z uwzględnieniem danych odebranych przez moduły GPS. Program pozwala także na "ogólne" śledzenie postępów wszystkich korzystających z Polarów osób, tyle że pewna luka logiczna w systemie pozwala podejrzeć także indywidualne osiągi.

Dziennikarzom udało się na podstawie tych informacji ustalić lokalizacje poszczególnych baz wojskowych. Wykorzystując sekcję "Explore" wskazali charakterystyczne punkty, w których można zaobserwować wzmożoną koncentrację "punktów pełnych danych". Sięgając głębiej można było sprawdzić imiona konkretnych użytkowników oraz także ich... adresy domowe. Razem zgromadzono 6460 rekordów odnoszących się do różnych użytkowników z 69 krajów - między innymi pracowników wojska, wywiadu oraz miejsc, w których składowana może być broń nuklearna.

Sekcja zawieszona, wycieku nie było

Polar przeprosił za zaistniałą sytuację - zapewniono jednakże, że nie ma tutaj do czynienia z typowym wyciekiem danych, lecz z błędem spowodowanym przez specyfikę Explore. Na mocy najnowszych doniesień sekcja została zawieszona i najpewniej, Polar nieco ją przebuduje - w taki sposób, aby nie było możliwe ustalenie tak wrażliwych danych jak m. in. adresy baz wojskowych czy prywatne informacje użytkowników usługi.

Warto jednak wspomnieć o tym, że możliwość sprawdzenia danych użytkowników w Explore wiąże się z upublicznieniem profilu w usłudze. Co ciekawe, ustawienie prywatności konta jako "prywatne" jest domyślną zmienną, nadawaną tuż po jego założeniu. Wystawieni na możliwość nieautoryzowanego pozyskanie informacji przez osoby trzecie użytkownicy samodzielnie musieli przełączyć je na "publiczne". Ci, którzy to zrobili zostali powiadomieni o tym, by lepiej jeszcze raz przyjrzeć się ustawieniami prywatności.

Podobną wpadkę zaliczyła inna popularna aplikacja dedykowana aktywności fizycznej - Strava. Pół roku temu informowaliśmy, że fitnessowa usługa również pozwalała na dostęp do danych użytkowników i tak samo okazało się, że możliwe było ustalenie informacji na temat m. in. kompleksów należących do wojska. Wtedy to, za pomocą tzw. "heat-mapy" możliwe było określenie charakterystycznych punktów z bardzo dużą koncentrację pozyskanych danych m. in. w Syrii oraz w Iraku, co znacznie wpływało na bezpieczeństwo prowadzonych tam misji. O takim charakterze wycieku nie myśleli nawet wojskowi - to zostało dostrzeżone dopiero przez ekspertów zajmujących się cyberbezpieczeństwem.

Również i Wy powinniście zastanowić się o tym, czy wykorzystywane przez Was aplikacje nie ujawniają nieintencjonalnie Waszych wrażliwych informacji. Takie sekcje jak Explore w Polar Flow - choć wyglądają na kompletnie nieszkodliwe, mogą być przyczyną bardzo nieprzyjemnych w skutkach wycieków.

Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu

Więcej na tematy: