Strava zeigt Fremden unter Umständen persönliche Daten

[English]Falsche Einstellungen können dazu führen, dass die beliebte Lauf- und Radsport-App Strava Informationen des Benutzers Dritten in der Nähe zugänglich macht. Hier sollte man aus Datenschutzgründen schon genauer hinschauen.


Anzeige

Eine merkwürdige Erfahrung mit Strava

Andrew Seward, Chef der Produktentwicklung von Experian, hat das Ganze die Tage auf Twitter publik gemacht und Bleeping Computer hat das dann aufgegriffen.

Out running this morning on a new route and a lady runs past me. Despite only passing, when I get home @Strava automatically tags her in my run. If I click on her face it shows her full name, picture and a map of her running route (which effectively shows where she lives)

Strava Datenleck
(Strava Datenleck)

Bei einem morgendlichen Lauf ließ er seine Daten über die Strava-App aufzeichnen. Während des Laufs bemerkte er eine Frau, die an ihm vorbei lief. Als er zuhause ankam und die Daten der Strava-App auswertete, staunte er nicht schlecht. Die Strava-App hatte offenbar Daten der Joggerin erfasst.Als er das Gesicht der Joggerin in Strava anwählte, wurden ihr vollständiger Name, ihr Bild und eine Karte ihrer Laufstrecke angezeigt (auf der effektiv ersichtlich ist, wo sie wohnt).

Andrew Seward wunderte sich, da er der Dame nicht längere Zeit gefolgt war und die Läuferin hatte ihre Daten auf Strava auch nicht öffentlich gemacht. Das hat ihn bewogen, dass Ganze auf Twitter kund zu tun. Denn eine solche Funktion, von der ein Strava-Nutzer nichts ahnt, lädt ja zum Missbrauch (wie z.B. Stalking) ein.

Verwirrende Datenschutzeinstellung schuld

Nach seinem Tweet meldete sich ein andere Nutzer und wies darauf hin, dass eine separate Datenschutzeinstellung mit etwas merkwürdigen Einstellungen dafür verantwortlich ist.

UPDATE: @ntzm_ points out this is a separate privacy setting from when you change who can see your activities – all settings default to ‘Everyone’ but this feature will only be disabled if you turn off ‘Flyby’

Strava Privatsphäreneinstellungen
(Zum Vergrößern klicken)

In den Einstellungen sind die Vorgaben für die Privatsphäre für alle Optionen auf ‘Jeder’ eingestellt, d.h. Dritte können Aktivitäten einsehen. Um zu verhindern, dass die Strava-Daten beim Vorbeilaufen in den Profilen Dritter übernommen werden, muss die Option Flyby, die die Aktivitäten mit jedem in der Nähe teilt deaktiviert werden (siehe auch die Erklärung auf Bleeping Computer).


Anzeige

Sind wohl extrem ungeschickte Einstellungen, die Strava vorgibt, gepaart mit verwirrende Erklärungen der Optionen, die zu dieser Problematik führen. Nur bei deaktivierter Flyby-Option kann das Teilen der Aktivitäten mit Dritten in der Nähe unterbunden werden. Der Fall zeigt wieder einmal, dass man eigentlich das ganze Zeug, ohne vorherige Sicherheitsanalyse, nicht nutzen sollte.

Ergänzende Anmerkung: Das Ganze scheint übrigens nicht so wirklich neu zu sein. Bereits im Juni 2020 hatte How-To Geek den Artikel How to Stop Strava From Making Your Home Address Public veröffentlicht, der genau auf diesen Sachverhalt hinweist. Hat aber damals wohl keinen interessiert.

Inzwischen hat Strava aus dem Vorfall gelernt und schickt seinen Nutzern einen Link mit dem Hinweis, wie sie die Einstellung ändern können. Das ist übrigens nicht der erste Fall, wo Risiken bei der Benutzung von Strava offensichtlich wurden. Im Artikel Sicherheitinfos zum Wochenstart (29.1.2018) hatte ich den Fall geschildert, wo die geteilten Tracks von US-Militärangehörigen auf der Strava-Seite einsehbar waren – auch dort herrschte die Sorglosigkeit der Nutzer, gepaart mit dem Zwang, alles mit der Welt teilen zu müssen, vor.

Ähnliche Artikel:
Watch OS 7 & iOS 14: Authenticator-App und GPS macht Probleme
Shanghai, die Geisterschiffe und das GPS-Spoofing
Fitness-Tracking-Seite Polar Flow zeigt kritische Nutzerdaten von Geheimnisträgern
Avast entdeckt Schwachstelle in GPS-Trackern
Fitness-Tracker schwächeln beim Kalorienumsatz
Fitness-Tracker: Die Daten und die Krankenkassen
Hunderte US-Apps mit staatlichen Tracking-Funktionen


Anzeige

Dieser Beitrag wurde unter App, Sicherheit abgelegt und mit App, Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.