一名安全研究人员似乎通过一名前拜登政府高级官员使用AllTrails追踪了他的实际位置。AllTrails是一款颇受欢迎的徒步旅行应用,注册用户超过3000万。AllTrails的记录似乎显示了这位官员访问白宫等敏感地点,还显示了他或他家人居住的具体房子。
这条新闻凸显了运动应用程序有时被忽视的隐私影响,类似于一名研究人员之前发现另一款名为Strava的应用程序暴露了美国军事基地的位置。默认情况下,AllTrails用户的活动是公开的,任何人都可以查看,包括已完成的路径、地图和活动。但这种便利性和专注于提供社交网络风格的体验也伴随着国家安全或隐私方面的潜在风险,这取决于特定的用户。无论是政府官员或名人这样的公众人物,还是处于被跟踪风险中的人,比如处于虐待关系中的人,AllTrails的隐私设置可能是用户应该考虑的事情。
安全研究员沃伊切赫在电子邮件中告诉Motherboard:“通过搜索五角大楼、国家安全局、中央情报局或白宫附近的信息,然后查看用户的其他活动,我发现了有趣的结果。”
沃伊切赫说,他们使用自己的开源情报平台作为调查过程的一部分。他们表示,该工具支持Strava和另一个名为SportsTracker的应用程序,并将很快包括AllTrails本身。
沃伊切赫向Motherboard发送了一个链接,他们认为这是拜登前高级官员在AllTrails上的个人资料。Motherboard没有透露这位官员的名字,因为他们没有回应置评请求,他们的资料仍然可以公开访问。AllTrails记录的12月一次白宫之旅还显示了他结束旅程的附近公寓楼。当月记录的更多行程显示了这位官员在华盛顿特区的其他活动。AllTrails的很多活动都与这位官员在政府任职期间有关。
Motherboard搜索了官方的AllTrails活动,发现从同一地点出发的多次远足。Motherboard随后查询了公共记录,发现这是一所登记在该官员家庭名下的房子,这意味着AllTrails已经帮助确定了该官员或其家人可能居住的地方。
Motherboard还通过尝试使用该官员的个人电子邮件地址注册该服务,验证了该官员在AllTrails上确实有一个帐户。这是不可能的,因为该地址已经注册到一个帐户。
AllTrails允许用户搜索附近的步道,跟踪他们在路线上的进展,并阅读其他徒步旅行者对步道的评论。它是一款介于锻炼应用和社交网络之间的应用,拥有粉丝和用户可以发布自己的内容等功能。
在Motherboard的测试中,在创建帐户时没有弹出窗口或类似的警告,默认情况下AllTrails的数据是公开的。要调整他们的设置,用户需要导航到他们的个人资料,然后点击“隐私设置”。从这里,他们可以将自己的完整路线、活动和地图从默认的“公共”设置更改为“仅限追随者”或仅限自己。
AllTrails是一个以社区为基础的公共平台,供用户分享他们的户外徒步旅行和远足体验。重要的是,我们提供了可定制的隐私设置,让用户可以选择哪些内容对谁可见。这意味着用户可以控制自己所有内容的可见性设置,包括活动、已完成的路径、地图和列表,”AllTrails的通信主管米根·普拉兹尼克(Meaghan Praznik)在一封电子邮件中告诉Motherboard。普拉兹尼克没有透露AllTrails是否与美国政府代表就通过其服务产生敏感信息的可能性进行过交谈。
AllTrails在其网站上提供了一个常见问题解答,告诉用户如何从谷歌搜索中删除自己的个人资料等等。
在研究人员、记者和公众大量报道从Strava泄露的数据后,美国军方重新审查了其人员使用应用程序的规则。
拜登前高级官员所在的办公室没有回应置评请求。
订阅我们的网络安全播客CYBER。订阅我们新的Twitch频道。
