Aktuelles, Branche - geschrieben von dp am Montag, November 11, 2024 11:34 - noch keine Kommentare
Fremd-Zugriff auf Standortdaten: Lauf-Apps können Gefahr für eigene Sicherheit bergen
Leibwächter des französischen Präsidenten hatten sich bei Lauf-App angemeldet und dabei offenbar zum Teil hochsensible Informationen preisgegeben
[datensicherheit.de, 11.11.2024] Technische Hilfsmittel für die eigene Fitness erfreuen sich offensichtlich großer Beliebtheit. „Vor allem Apps wie ,Strava’ sind praktische Helfer für Fitnessbewusste: Sie tracken die zurückgelegten Strecken und Kilometer pro Monat und liefern am Ende des Tages eine Auswertung.“ Doch der Hype um solche Hilfsmittel hat wohl auch Schattenseiten, wie der französische Präsident, Emmanuel Macron, es habe erfahren müssen: Seine Leibwächter hätten sich bei der Lauf-App angemeldet und dabei anscheinend zum Teil hochsensible Informationen wie den Aufenthaltsort des Präsidenten preisgegeben. „Leider ist das keine Überraschung, denn es ist nicht das erste Mal, dass ,Strava’ und andere Soziale Netzwerke ein Risiko für die Privatsphäre oder sogar die körperliche Sicherheit ihrer Nutzer darstellen“, kommentiert Jake Moore, IT-Sicherheitsexperte bei ESET.
In Israel soll ein Unbekannter über eine Lauf-App an Bewegungsprofile Tausender israelischer Soldaten gelangt sein
Die französische Zeitung „Le Monde“, die hinter dieser Enthüllung steckt, hat weitere Beispiele parat: Soll soll in Israel ein Unbekannter über „Strava“ an die Bewegungsprofile Tausender israelischer Soldaten gelangt sein – und das mit einfachsten technischen Mitteln:
„Mit Hilfe eines Smartphones und der dazugehörigen App konnte der Unbekannte seinen Standort in die Nähe von Militärbasen und anderen kritischen Bereichen verlegen.“ Dadurch seien andere Profile in der Nähe sichtbar geworden – inklusive der bisherigen Bewegungsaktivitäten. In einigen Fällen habe sich sogar der Wohnort des Militärpersonals herausfinden lassen.
Vorfälle aus Frankreich und Israel zeigen: Laxer Umgang mit Lauf-Apps kann hochsensible Standortdaten für Fremde verfügbar machen
Diese Fälle aus Frankreich und Israel zeigten: Ein laxer Umgang mit den eigenen Daten reiche oft aus, um hochsensible Standortdaten verfügbar zu machen. „Das ist vor allem für Mitarbeiter in sensiblen Bereichen wie Politik und Militär problematisch, kann aber auch für private Nutzer zu Problemen führen: In England konnten Kriminelle einem App-Nutzer über öffentliche Bewegungsprofile Fahrräder im Gesamtwert von über zwölftausend Pfund stehlen.“
Das Dilemma laut ESET: Kriminelle brauchten oft nicht mehr als einen Computer oder ein Smartphone, um an ihr Ziel zu gelangen. Gleichzeitig benötigten diese Apps Zugriff auf den genauen Standort, um wie gewünscht zu funktionieren. „Apps wie ,Strava’ sind nicht per se gefährlicher als andere Anwendungen“, erläutert Moore. Vielmehr sollten die Nutzer darauf achten, „wie sie sie nutzen und welche Daten sie preisgeben“.
Lauf-Apps sollten über Datenschutzeinstellungen sicherer gemacht werden
Nutzer könnten die Datenschutzeinstellungen der meisten Tracking-Apps so konfigurieren, „dass nur autorisierte Personen über die eigenen Aktivitäten informiert werden“. Die „Heatmap“ beispielsweise, auf der u. a. eigene Laufrouten dargestellt würden, müssten Nutzer selbst aktivieren. Aber auch in anderen Einstellungen könne man „noch ein paar Stellschrauben anziehen, um sicher zu bleiben“.
Bei „Strava“ gebe es beispielsweise im Einstellungsmenü den Punkt „Privatsphäre-Einstellungen“. Unter Umständen könnten Daten dort freizügig dargestellt werden, z.B. sei das eigene Profil und damit Name, Aktivitäten, Fotos und Statistiken öffentlich sichtbar. Die Sichtbarkeit des Profils könne indes auf Abonnenten beschränkt werden. Die Aktivitäten, zu denen auch Trainings und zurückgelegte Strecken gehörten, ließen sich besser verbergen: Mit der Einstellung „Nur du“ könne nur der Nutzer seine eigenen Aktivitäten verfolgen. „Die Gruppenaktivitäten, das sind beispielsweise Aufzeichnungen von gemeinsamen Läufen, lassen sich sogar ganz deaktivieren.“
Aktivitätskarten in Lauf-Apps sollten für Fremde deaktiviert werden
Zudem können Nutzer bei „Kartensichtbarkeit“ bestimmte Adressen definieren, an denen die App keine Start- und Endpunkte von Aktivitäten aufzeichnen soll. Auch dort könnten Aktivitätskarten für andere deaktiviert werden.
„,Strava’-Nutzer sollten die ,private’ Nutzung der App in Betracht ziehen und es sich zweimal überlegen, bevor sie die optionale ,Heatmap’-Funktion aktivieren, insbesondere wenn sie den Verdacht haben, verfolgt zu werden oder in einem Bereich mit höheren Sicherheitsanforderungen arbeiten“, so Moores Fazit.
Weitere Informationen zum Thema:
Le Monde, Sébastien Bourdon & Antoine Schirer, 04.11.2024
StravaLeaks : en pleine guerre, des milliers de soldats israéliens identifiables par le biais de l’application sportive / Malgré les alertes, l’armée israélienne laisse toujours des militaires dévoiler des informations sensibles via Strava. L’enquête du « Monde » a conduit Israël à se croire victime d’une opération d’espionnage par un service étranger
MailOnline, Sophie Law, 21.09.2028
Thieves steal cycling enthusiast’s entire collection of specialist racing bikes ‚after tracking down the 51-year-old’s home using routes he’d posted on fitness app Strava‘
datensicherheit.de, 10.07.2018
Fitness-App: Datenpanne könnte Mitarbeitern sensibler Bereiche schaden / Tim Berghoff kommentiert aktuelle Entdeckung einer Schwachstelle
datensicherheit.de, 08.09.2014
Wearable Technology: Tech-Gadgets verraten persönliche Daten und Angewohnheiten / „Tragbare Technologie“ misst neben dem Pulsschlag auch den Kalorienverbrauch, Schlafgewohnheiten oder Bewegung gibt außerdem Aufschluss über den Standort des Trägers
Aktuelles, Experten - Nov 12, 2024 12:21 - noch keine Kommentare
Datenschutz-Sandbox: Forschungsprojekt soll sicherer Technologieentwicklung Raum geben
weitere Beiträge in Experten
- it’s.BB e.V. lädt ein: Web-Seminar zu Risiken und Nebenwirkungen der Cyber Sicherheit im Unternehmen
- KRITIS-Dachgesetz: Bitkom begrüßt Umsetzung und stellt Forderungen auf
- eco warnt vor Doppelregulierung und fordert abermals klare Zuständigkeiten beim KRITIS-Schutz
- US-Angemessenheitsbeschluss und Datenschutz bei Strafverfolgungsbehörden – EDSA bezieht Position
- Neue Grundsatzentscheidung zwingt Notare zur Ermittlung von Daten für das Nachlassverzeichnis
Aktuelles, Branche - Nov 13, 2024 12:21 - noch keine Kommentare
Black Friday: Hochsaison für Schnäppchenjagd – und raffinierte Phishing-Angriffe
weitere Beiträge in Branche
- Erkenntnis aus BSI-Bericht 2024: Zahl der Cyber-Vorfälle in Deutschland erneut zugenommen
- Ymir: Kaspersky warnt vor neuentdeckter Ransomware
- Fremd-Zugriff auf Standortdaten: Lauf-Apps können Gefahr für eigene Sicherheit bergen
- JFrog-Analyse zur Gefährdung Maschinellen Lernens: Kritische Schwachstellen in ML-Frameworks entdeckt
- Sophos X-Ops analysieren Cyber-Attacken per Quishing
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren