Fremd-Zugriff auf Standortdaten: Lauf-Apps können Gefahr für eigene Sicherheit bergen

Leibwächter des französischen Präsidenten hatten sich bei Lauf-App angemeldet und dabei offenbar zum Teil hochsensible Informationen preisgegeben

[datensicherheit.de, 11.11.2024] Technische Hilfsmittel für die eigene Fitness erfreuen sich offensichtlich großer Beliebtheit. „Vor allem Apps wie ,Strava’ sind praktische Helfer für Fitnessbewusste: Sie tracken die zurückgelegten Strecken und Kilometer pro Monat und liefern am Ende des Tages eine Auswertung.“ Doch der Hype um solche Hilfsmittel hat wohl auch Schattenseiten, wie der französische Präsident, Emmanuel Macron, es habe erfahren müssen: Seine Leibwächter hätten sich bei der Lauf-App angemeldet und dabei anscheinend zum Teil hochsensible Informationen wie den Aufenthaltsort des Präsidenten preisgegeben. „Leider ist das keine Überraschung, denn es ist nicht das erste Mal, dass ,Strava’ und andere Soziale Netzwerke ein Risiko für die Privatsphäre oder sogar die körperliche Sicherheit ihrer Nutzer darstellen“, kommentiert Jake Moore, IT-Sicherheitsexperte bei ESET.

In Israel soll ein Unbekannter über eine Lauf-App an Bewegungsprofile Tausender israelischer Soldaten gelangt sein

Die französische Zeitung „Le Monde“, die hinter dieser Enthüllung steckt, hat weitere Beispiele parat: Soll soll in Israel ein Unbekannter über „Strava“ an die Bewegungsprofile Tausender israelischer Soldaten gelangt sein – und das mit einfachsten technischen Mitteln:

„Mit Hilfe eines Smartphones und der dazugehörigen App konnte der Unbekannte seinen Standort in die Nähe von Militärbasen und anderen kritischen Bereichen verlegen.“ Dadurch seien andere Profile in der Nähe sichtbar geworden – inklusive der bisherigen Bewegungsaktivitäten. In einigen Fällen habe sich sogar der Wohnort des Militärpersonals herausfinden lassen.

Vorfälle aus Frankreich und Israel zeigen: Laxer Umgang mit Lauf-Apps kann hochsensible Standortdaten für Fremde verfügbar machen

Diese Fälle aus Frankreich und Israel zeigten: Ein laxer Umgang mit den eigenen Daten reiche oft aus, um hochsensible Standortdaten verfügbar zu machen. „Das ist vor allem für Mitarbeiter in sensiblen Bereichen wie Politik und Militär problematisch, kann aber auch für private Nutzer zu Problemen führen: In England konnten Kriminelle einem App-Nutzer über öffentliche Bewegungsprofile Fahrräder im Gesamtwert von über zwölftausend Pfund stehlen.“

Das Dilemma laut ESET: Kriminelle brauchten oft nicht mehr als einen Computer oder ein Smartphone, um an ihr Ziel zu gelangen. Gleichzeitig benötigten diese Apps Zugriff auf den genauen Standort, um wie gewünscht zu funktionieren. „Apps wie ,Strava’ sind nicht per se gefährlicher als andere Anwendungen“, erläutert Moore. Vielmehr sollten die Nutzer darauf achten, „wie sie sie nutzen und welche Daten sie preisgeben“.

Lauf-Apps sollten über Datenschutzeinstellungen sicherer gemacht werden

Nutzer könnten die Datenschutzeinstellungen der meisten Tracking-Apps so konfigurieren, „dass nur autorisierte Personen über die eigenen Aktivitäten informiert werden“. Die „Heatmap“ beispielsweise, auf der u. a. eigene Laufrouten dargestellt würden, müssten Nutzer selbst aktivieren. Aber auch in anderen Einstellungen könne man „noch ein paar Stellschrauben anziehen, um sicher zu bleiben“.

Bei „Strava“ gebe es beispielsweise im Einstellungsmenü den Punkt „Privatsphäre-Einstellungen“. Unter Umständen könnten Daten dort freizügig dargestellt werden, z.B. sei das eigene Profil und damit Name, Aktivitäten, Fotos und Statistiken öffentlich sichtbar. Die Sichtbarkeit des Profils könne indes auf Abonnenten beschränkt werden. Die Aktivitäten, zu denen auch Trainings und zurückgelegte Strecken gehörten, ließen sich besser verbergen: Mit der Einstellung „Nur du“ könne nur der Nutzer seine eigenen Aktivitäten verfolgen. „Die Gruppenaktivitäten, das sind beispielsweise Aufzeichnungen von gemeinsamen Läufen, lassen sich sogar ganz deaktivieren.“

Aktivitätskarten in Lauf-Apps sollten für Fremde deaktiviert werden

Zudem können Nutzer bei „Kartensichtbarkeit“ bestimmte Adressen definieren, an denen die App keine Start- und Endpunkte von Aktivitäten aufzeichnen soll. Auch dort könnten Aktivitätskarten für andere deaktiviert werden.

„,Strava’-Nutzer sollten die ,private’ Nutzung der App in Betracht ziehen und es sich zweimal überlegen, bevor sie die optionale ,Heatmap’-Funktion aktivieren, insbesondere wenn sie den Verdacht haben, verfolgt zu werden oder in einem Bereich mit höheren Sicherheitsanforderungen arbeiten“, so Moores Fazit.

Weitere Informationen zum Thema:

Le Monde, Sébastien Bourdon & Antoine Schirer, 04.11.2024
StravaLeaks : en pleine guerre, des milliers de soldats israéliens identifiables par le biais de l’application sportive / Malgré les alertes, l’armée israélienne laisse toujours des militaires dévoiler des informations sensibles via Strava. L’enquête du « Monde » a conduit Israël à se croire victime d’une opération d’espionnage par un service étranger

MailOnline, Sophie Law, 21.09.2028
Thieves steal cycling enthusiast’s entire collection of specialist racing bikes ‚after tracking down the 51-year-old’s home using routes he’d posted on fitness app Strava‘

datensicherheit.de, 10.07.2018
Fitness-App: Datenpanne könnte Mitarbeitern sensibler Bereiche schaden / Tim Berghoff kommentiert aktuelle Entdeckung einer Schwachstelle

datensicherheit.de, 08.09.2014
Wearable Technology: Tech-Gadgets verraten persönliche Daten und Angewohnheiten / „Tragbare Technologie“ misst neben dem Pulsschlag auch den Kalorienverbrauch, Schlafgewohnheiten oder Bewegung gibt außerdem Aufschluss über den Standort des Trägers