Cybercriminelen kunnen de locaties en routes van Strava-gebruikers traceren. De populaire sportapp beweert dat de privacy van gebruikers wordt beschermd, maar de maatregelen blijken zwak.

Strava heeft tientallen miljoenen gebruikers in 195 landen. De sportapp maakt het mogelijk om sportactiviteiten, locaties en routes met medegebruikers te delen. De ‘endpoint privacy zone’-instellingen stelt gebruikers in staat om routes en locaties af te schermen. Ondanks de privacymaatregel wisten onderzoekers van de KU Leuven de locaties en routes van gebruikers te achterhalen.

Het probleem

Populaire sportapps als Strava, Adidas Runtastic en Garmin Connect zijn privacygevoelig. Gebruikers delen wandelroutes, hardlooplocaties en fietstochten, maar zijn zich vaak onbewust van het beeld dat de gegevens schetsen. In april 2018 kwam Strava in het nieuws nadat onderzoekers de sportapp gebruikten om de locaties van Amerikaanse militairen in Syrië te traceren. Door looproutes te delen gaven soldaten hun positie onbewust prijs.

Strava probeert het probleem met een privacy-instelling te voorkomen. De ‘endpoint privacy zone’-optie geeft de indruk dat routes en activiteiten worden afgeschermd voor de buitenwereld. In werkelijkheid zijn de locaties en routes van gebruikers alsnog te achterhalen.

De endpoint privacy zone-instelling schermt de letterlijke route en locatie van een sportactiviteit af. Andere gegevens blijven openbaar, waaronder de afgelegde afstand en de plek waarop een gebruiker de zone binnenkomt en verlaat. Door dergelijke gegevens te analyseren blijft het mogelijk om de routes en locaties van gebruikers te traceren. Onderzoekers van de KU Leuven onderzochten 1,4 miljoen verborgen Strava-activiteiten. In 85 procent van de gevallen waren de verborgen locaties te achterhalen.

Strava geeft ‘vals gevoel van veiligheid’

“Endpoint privacy zones geven een vals gevoel van veiligheid”, verelde Karel Dhondt, een van de onderzoekers van de KU Leuven, tegen de VRT. “Gebruikers moeten zich ervan bewust zijn dat hun locatiegegevens nooit echt privé zijn.”

“Als gebruiker kan je je privacy op sportapps beter beschermen. Een privacyzone instellen is sowieso nog altijd een goed idee, maar maak de zone rond plekken die je verborgen wil houden groot genoeg. Vaak is het minimum 200 meter, maar kan je de zone vergroten tot meer dan een kilometer. Hoe groter hoe beter.”

De onderzoekers van de KU Leuven reizen over enkele weken naar Los Angeles voor een afspraak met de ontwikkelaars van Strava. De organisaties gaan aan tafel om verbeterpunten te overleggen. Strava zegt open te staan voor feedback.

Tip: Advocaten klagen over toename in aftappen van communicatiediensten