近年來(lái)，科技進(jìn)步推動(dòng)了健身運(yùn)動(dòng)的數(shù)字化和社交化，各種功能豐富的健身應(yīng)用（如Strava、Polar、咪咕等）深受用戶(hù)喜愛(ài)。然而，鮮為人知的是，很多熱門(mén)健身應(yīng)用往往不經(jīng)意間成為敏感信息的“漏點(diǎn)”，甚至給全球政要、軍方以及情報(bào)部門(mén)帶來(lái)重大安全隱患。

馬克龍行蹤被特工“出賣(mài)”

近日，據(jù)法國(guó)《世界報(bào)》報(bào)道，法國(guó)特勤局總統(tǒng)安全小組（GSPR）最近發(fā)生了嚴(yán)重的信息安全事故——法國(guó)總統(tǒng)馬克龍的安保團(tuán)隊(duì)成員在Strava記錄并公開(kāi)分享個(gè)人鍛煉路線，意外暴露了馬克龍的實(shí)時(shí)物理位置，馬克龍下榻的酒店、會(huì)議室和行程都可以通過(guò)這款應(yīng)用實(shí)時(shí)追蹤：

馬克龍的行蹤被安保團(tuán)隊(duì)泄漏

該數(shù)據(jù)泄漏事件不僅威脅到馬克龍的個(gè)人隱私，甚至可能被惡意組織用來(lái)策劃實(shí)施“斬首攻擊”。據(jù)The Register報(bào)道，美國(guó)總統(tǒng)拜登和俄羅斯總統(tǒng)普京也容易受到類(lèi)似跟蹤威脅。在2018年發(fā)生的健身應(yīng)用數(shù)據(jù)泄漏事件中，克里姆林宮安保團(tuán)隊(duì)的巡邏路線在X上被公開(kāi)發(fā)布：

在Strava熱圖功能中泄漏的克里姆林宮安保團(tuán)隊(duì)巡邏路線

馬克龍行蹤泄密事件在法國(guó)引發(fā)了廣泛的安全討論，法國(guó)政府呼吁加強(qiáng)對(duì)應(yīng)用隱私設(shè)置的管控和員工安全意識(shí)培訓(xùn)，并迅速采取措施，嚴(yán)格要求所有安保人員關(guān)閉位置共享功能，避免類(lèi)似事件再次發(fā)生。

美軍早有先例：數(shù)據(jù)泄露引發(fā)內(nèi)部整頓

在馬克龍行蹤暴露之前，健身應(yīng)用導(dǎo)致的政要和軍隊(duì)敏感信息泄漏事件已經(jīng)多次發(fā)生，其關(guān)鍵“漏點(diǎn)”是健身APP的熱圖功能。例如，Strava的全球熱圖（Global Heatmap）功能最早于2017年發(fā)布，可聚合展示用戶(hù)活動(dòng)的熱門(mén)位置。

這種聚合位置數(shù)據(jù)的功能本意在于社交，但對(duì)于敏感人群來(lái)說(shuō)，卻成為潛在的泄密風(fēng)險(xiǎn)，尤其是對(duì)于政府工作人員和軍方成員而言，其活動(dòng)軌跡可能成為泄露軍事基地和機(jī)密信息的風(fēng)險(xiǎn)源。

在Strava熱圖功能中泄漏的美軍基地人員行動(dòng)路線

據(jù)《衛(wèi)報(bào)》報(bào)道，該功能曾無(wú)意間展示了美軍在伊拉克、敘利亞等地的基地位置。早在2018年，美軍便因發(fā)現(xiàn)該健身應(yīng)用泄露軍基地位置而緊急調(diào)整隱私設(shè)置（上圖）。據(jù)CNN報(bào)道，當(dāng)時(shí)美軍內(nèi)部下達(dá)了“暫停使用”命令，以減少數(shù)據(jù)泄露的風(fēng)險(xiǎn)，并對(duì)所有軍事人員進(jìn)行了隱私保護(hù)安全意識(shí)培訓(xùn)。然而，即便如此，隨著健身應(yīng)用的不斷普及及其功能的豐富，數(shù)據(jù)隱私和泄密問(wèn)題始終未能徹底解決。

值得注意的是，雖然“熱圖”功能由用戶(hù)控制，可手動(dòng)設(shè)置隱私模式以隱藏?cái)?shù)據(jù)。然而，許多用戶(hù)并不熟悉這一隱私選項(xiàng)的具體設(shè)置，導(dǎo)致敏感位置暴露在外。數(shù)據(jù)安全專(zhuān)家分析指出，這種公開(kāi)顯示的運(yùn)動(dòng)軌跡能夠被敵方用于分析軍隊(duì)的活動(dòng)模式，從而推斷其運(yùn)作規(guī)律，進(jìn)而進(jìn)行針對(duì)性攻擊。

在此背景下，Strava采取了“整改”措施，在2021年更新了隱私設(shè)置，允許用戶(hù)對(duì)具體地點(diǎn)進(jìn)行“隱私遮罩”，即用戶(hù)可以設(shè)定某些區(qū)域的數(shù)據(jù)不公開(kāi)。

健身應(yīng)用安全漏洞不是個(gè)案

莫斯科的全球健身熱圖

健身應(yīng)用的數(shù)據(jù)泄露風(fēng)險(xiǎn)具有普遍性，不僅僅是Strava，芬蘭的健身應(yīng)用Polar同樣因泄露敏感信息而陷入風(fēng)波。與Strava的熱圖類(lèi)似，Polar的Explore地圖功能允許用戶(hù)公開(kāi)顯示鍛煉數(shù)據(jù)，導(dǎo)致大量敏感信息暴露。例如，有記者在公開(kāi)的Polar地圖數(shù)據(jù)中發(fā)現(xiàn)了美國(guó)國(guó)家安全局（NSA）、英國(guó)軍情六處（MI6）以及法國(guó)DGSE等情報(bào)機(jī)構(gòu)員工的活動(dòng)記錄。此類(lèi)應(yīng)用的問(wèn)題在于，即使用戶(hù)設(shè)定為“私密”狀態(tài)，應(yīng)用的開(kāi)發(fā)者API仍然可以被利用，以簡(jiǎn)單的方法獲取用戶(hù)的行蹤信息。

更為嚴(yán)重的是，記者們通過(guò)這類(lèi)應(yīng)用發(fā)現(xiàn)了特定情報(bào)機(jī)構(gòu)工作人員的家庭住址及其日常出行路線。這種數(shù)據(jù)泄露引發(fā)了全球政府和軍事機(jī)構(gòu)的強(qiáng)烈關(guān)注，因?yàn)榧幢闶亲畹图?jí)別的定位數(shù)據(jù)，一旦被惡意利用，也會(huì)為恐怖組織等提供可觀的情報(bào)支持。

盡管Polar迅速調(diào)整了隱私設(shè)置，關(guān)閉了部分敏感區(qū)域的公開(kāi)數(shù)據(jù)，并限制其API的訪問(wèn)頻率以此減少信息的暴露，但這一事件表明健身應(yīng)用安全漏洞對(duì)隱私和信息安全的威脅具有普遍性。

隨著健身應(yīng)用在全球范圍內(nèi)的普及，其數(shù)據(jù)泄露問(wèn)題已不僅僅是個(gè)人隱私的問(wèn)題，而是上升到國(guó)家安全層面的挑戰(zhàn)。法國(guó)和美國(guó)的健身應(yīng)用泄密事件表明，APP開(kāi)發(fā)商在設(shè)計(jì)功能時(shí)，往往未能充分考慮到數(shù)據(jù)的潛在風(fēng)險(xiǎn)。對(duì)于Strava、Polar等熱門(mén)應(yīng)用，不僅需要加強(qiáng)數(shù)據(jù)安全和隱私保護(hù)監(jiān)管，不斷完善隱私保護(hù)措施，更要加強(qiáng)對(duì)用戶(hù)的安全意識(shí)教育，確保敏感信息不因用戶(hù)的疏忽而被泄露。

GoUpSec數(shù)據(jù)安全專(zhuān)家指出，未來(lái)熱門(mén)健身應(yīng)用需要改進(jìn)隱私設(shè)置機(jī)制，如加強(qiáng)默認(rèn)隱私保護(hù)功能，或在應(yīng)用啟用時(shí)即刻提醒用戶(hù)檢查隱私設(shè)置。對(duì)于政府和軍事機(jī)構(gòu)，則需要建立健全人員安全意識(shí)培訓(xùn)機(jī)制，提高對(duì)敏感數(shù)據(jù)保護(hù)的意識(shí)，以避免此類(lèi)事件反復(fù)重演。