Schattenhafte Strava-Benutzer spionieren das israelische Militär mit gefälschten Routen in Basen aus | Spionage

Nicht identifizierte Agenten haben die Fitness-Tracking-App Strava verwendet, um Mitglieder des israelischen Militärs auszuspionieren, ihre Bewegungen über geheime Stützpunkte im ganzen Land zu verfolgen und sie möglicherweise zu beobachten, während sie in offiziellen Geschäften um die Welt reisen.

Durch die Platzierung gefälschter Lauf-„Segmente“ in Militärstützpunkten konnte die Operation – deren Zugehörigkeit nicht aufgedeckt wurde – Personen im Auge behalten, die auf den Stützpunkten trainierten, selbst diejenigen, die die strengsten Datenschutzeinstellungen für Konten angewendet hatten.

In einem Beispiel, das der Guardian gesehen hat, könnte ein Benutzer, der auf einer streng geheimen Basis läuft, von der angenommen wird, dass er Verbindungen zum israelischen Nuklearprogramm hat, über andere Militärbasen und in ein fremdes Land verfolgt werden.

Die Überwachungskampagne wurde vom israelischen Open-Source-Geheimdienst FakeReporter entdeckt. Der Exekutivdirektor der Gruppe, Achiya Schatz, sagte: „Wir haben die israelischen Sicherheitskräfte kontaktiert, sobald wir von dieser Sicherheitsverletzung erfahren haben. Nachdem die Sicherheitskräfte die Genehmigung erhalten hatten, fortzufahren, kontaktierte FakeReporter Strava und sie bildeten ein hochrangiges Team, um das Problem anzugehen.“

Die Tracking-Tools von Strava sind so konzipiert, dass jeder „Segmente“, kurze Abschnitte eines Laufs oder einer Radtour, die regelmäßig überquert werden können, wie z. Benutzer können ein Segment definieren, nachdem sie es aus der Strava-App hochgeladen haben, können aber auch GPS-Aufzeichnungen von anderen Produkten oder Diensten hochladen.

Strava hat jedoch keine Möglichkeit zu verfolgen, ob diese GPS-Uploads legitim sind, und erlaubt jedem, ein Segment durch Hochladen zu definieren – selbst wenn er möglicherweise nicht an dem Ort war, an dem er verfolgt wird. Tatsächlich sind einige hochgeladene Segmente eindeutig künstlich erzeugt, mit Durchschnittsgeschwindigkeiten von Hunderten von Kilometern pro Stunde, unnatürlich geraden Linien und sofortigen vertikalen Sprüngen auf Klippen, die alle aufgezeichnet wurden.

siehe auch  Russisches Pantsir-S1 von ukrainischen Streitkräften zerstört - Video

Einige dieser gefälschten Uploads wurden möglicherweise verwendet, um bei freundschaftlichen Wettbewerben zu betrügen oder ein Segment einzurichten, um andere zu führen: aber mindestens ein Set scheint einen böswilligeren Zweck zu haben. Ein anonymer Benutzer, dessen Standort als „Boston, Massachusetts“ angegeben war, hatte eine Reihe von gefälschten Segmenten über eine Reihe von Militäreinrichtungen in Israel erstellt, darunter Außenposten der Geheimdienste des Landes und hochsichere Stützpunkte, von denen angenommen wird, dass sie mit seiner Atomkraft in Verbindung stehen Programm.

„Durch die Ausnutzung der Fähigkeit, konstruierte Dateien hochzuladen und die Details von Benutzern überall auf der Welt preiszugeben, sind feindliche Elemente der Ausnutzung einer beliebten App einen alarmierenden Schritt näher gekommen, um die Sicherheit von Bürgern und Ländern gleichermaßen zu gefährden“, sagte Schatz.

Der Fake-Segment-Ansatz umgeht auch einige der Datenschutzeinstellungen von Strava. Benutzer können ihre Profile so einstellen, dass sie nur für „Follower“ sichtbar sind, was verhindert, dass neugierige Blicke ihre Bewegungen im Laufe der Zeit verfolgen. Aber wenn sie nicht auch jeden einzelnen Lauf aktiv sichern, werden ihr Profilbild, ihr Vorname und ihre Initiale im Geiste eines freundschaftlichen Wettbewerbs auf Segmenten angezeigt, die sie gelaufen sind. Mit genügend Segmenten, die über die Karte verstreut sind, können Personen immer noch identifiziert werden: Ein Benutzer verfolgte beispielsweise seine Teilnahme an einem öffentlich gemeldeten Rennen, das er gewonnen hat, und lief in sicheren militärischen Einrichtungen.

In einer Erklärung sagte das Fitnessunternehmen: „Wir nehmen Datenschutz sehr ernst und wurden von einer israelischen Gruppe, FakeReporter, auf ein Segmentproblem in Bezug auf ein bestimmtes Benutzerkonto aufmerksam gemacht und haben die notwendigen Schritte unternommen, um diese Situation zu beheben.

siehe auch  Top-Auswahl, die in der Nähe des Ozeans gedeihen wird
<gu-island name="EmbedBlockComponent" deferuntil="visible" props="{"html":"”,”caption”:”Melden Sie sich für First Edition an, unseren kostenlosen täglichen Newsletter – jeden Wochentag morgens um 7 Uhr BST.”,”isTracking”:false,”isMainMedia”:false,”source”:”The Guardian”,”sourceDomain “:”theguardian.com”}”>

Melden Sie sich für First Edition an, unseren kostenlosen täglichen Newsletter – jeden Wochentag morgens um 7 Uhr BST.

„Wir bieten leicht zugängliche Informationen darüber, wie Informationen auf Strava geteilt werden, und geben jedem Athleten die Möglichkeit, seine eigene Datenschutzauswahl zu treffen. Weitere Informationen zu all unseren Datenschutzkontrollen finden Sie auf unserer Datenschutzzentrum da wir allen Athleten empfehlen, sich die Zeit zu nehmen, um sicherzustellen, dass ihre Auswahl in Strava ihre beabsichtigte Erfahrung darstellt.“

Die Entdeckung erinnert an einen Skandal aus dem Jahr 2018, als eine neue Strava-Funktion eine Visualisierung aller Aktivitäten auf der Fitness-Tracking-Plattform auf der ganzen Welt veröffentlichte. Die Heatmap zeigte beliebte Lauf-, Rad- und Schwimmrouten, und eine Ankündigung von Strava hob hervor, dass sie verwendet werden könnte, um Orte wie die Route des Ironman-Triathlons auf Hawaii zu erkennen. Es legte aber auch weniger öffentliche Strecken fest: Der Standort und die Anordnung mehrerer Militärbasen in der Provinz Helmand, Afghanistan, waren deutlich sichtbar, ebenso wie ein beliebter Badeplatz im Freien neben dem RAF Mount Pleasant auf den Falklandinseln. Die Karte zeichnete sogar die Route eines einsamen Radfahrers in Area 51, Nevada, auf.

Stravas Reaktion auf den Aufruhr war es, militärischen Benutzern zu raten, sich gegen die Visualisierung zu entscheiden, mit dem Argument, dass die Informationen von den Benutzern veröffentlicht wurden, die sie hochgeladen haben. In Anbetracht der jüngsten Datenschutzlücke wurden einige Benutzer in alarmierenden Details verfolgt: Ein Mitglied des US-Luftwaffendienstes konnte von einer Tour in Dschibuti, wo sie die 7 km lange Schleife der Landebahn lief, bis zu einem Luftwaffenstützpunkt in Deutschland, wo sie sich befand, verfolgt werden 2016 übertragen.

Newsletter

Leave a Reply

Your email address will not be published.

This site uses Akismet to reduce spam. Learn how your comment data is processed.