Данные о военных базах США стали доступны благодаря фитнес-трекерам
Интерактивная карта, которая «подсвечивает» маршруты людей, использующих фитнес-гаджеты, такие как Fitbit и Jawbone, раскрывает «высокочувствительную информацию о локации и деятельности американских военных баз», сообщает The Washington Post.
Речь идет о карте The Global Heat Map, созданной компанией Strava, работающей с GPS. Для создания карты компания использовала спутниковые данные о местонахождении и передвижениях пользователей фитнес-трекеров за два года: с 2015 по 2017-й. На карте подсвечиваются четыре типа активности: поездки на велосипедах, бег, водные и зимние виды физической активности.
Strava утверждает, что у нее 27 млн пользователей по всему миру. Среди них — пользователи популярных фитнес-гаджетов Fitbit и Jawbone, а также подписчики собственного приложения компании.
«В зонах военных действий и пустынях в таких странах, как Ирак и Сирия, карта почти полностью темная — за исключением небольших мест активности. Приближение к таким зонам показывает, что это американские военные базы», — отмечает Washington Post. Представитель Центрального командования США полковник ВВС Джон Томас сообщил, что военные изучают возможные последствия, которые принесет раскрытие таких данных.
Пентагон продвигал использование фитнес-трекеров Fitbit: в 2013 году ведомство закупило военнослужащим 2,5 тыс. трекеров в рамках кампании по борьбе с ожирением.
The Global Heat Map была опубликована в ноябре 2017 года, но внимание общественности к ней было привлечено в январе. Первым то, что американские базы на Ближнем Востоке «подсвечены, как рождественская елка», заметил австралийский студент Натан Русер, изучающий международную безопасность.
Фактически на карту нанесены все маршруты людей, использовавших фитнес-гаджеты в районе американских военных объектов, благодаря чему на карте можно увидеть, например, детальную карту американской базы в Кандагаре в Афганистане. Журналист издания Daily Beast Адам Раунсли заметил значительное число проявлений физической активности рядом с предполагаемой базой ЦРУ в Могадишо. Журналист New Yorker обнаружил месторасположение базы Сил специальных операций США в регионе Сахель в Африке.
Для производителей фитнес-трекеров «не представляет труда» отключить обработку, публикацию и передачу данных с партии или с конкретного устройства, рассказал РБК ведущий аналитик отдела развития «Доктор Веб» Вячеслав Медведев. Отключение передачи данных позволило бы избежать фиксации местонахождения пользователей трекеров.
«Пентагон закупил оборудование, которое передает данные о местонахождении военных с высокой точностью в сторонние организации. При этом, вероятно, не был оговорен пункт договора, запрещающий публичное раскрытие данных в каком-либо виде. После этого утечка стала делом времени», — считает Медведев. По его словам, устройства подобного типа также уязвимы для взлома.
Руководитель группы исследования уязвимостей систем промышленной автоматизации и интернета вещей Kaspersky Lab ICS CERT Владимир Дащенко заявил РБК, что «умные» гаджеты, такие как фитнес-трекеры, «крайне плохо защищены».
«Основная проблема безопасности умных гаджетов в том, что многие разработчики при подключении их к облаку недостаточно хорошо продумывают механизмы кибербезопасности. Таким образом, информация, которую они собирают, может оказаться доступна не только их владельцу. Кроме огрехов в безопасности облачных подключений иногда разработчики оставляют определенные лазейки (бэкдоры) — например. для сбора данных об этих устройствах или же как часть отладочного механизма на стадии разработки. Такими лазейками впоследствии могут воспользоваться и злоумышленники», — пояснил Дащенко.
Основатель российского фитнес-трекера ONETRAK Михаил Препелицкий считает, что «в данном случае утечка информации произошла по нескольким причинам. Во-первых, при установке любого приложения высвечивается список данных, которые оно запрашивает. И пользователь, принимая соглашение и скачивая приложения, зачастую не задумывается, что дает согласие на передачу личных данных. GPS-треки попали на карту не из-за уязвимости браслетов, а, грубо говоря, были предоставлены пользователями. Во-вторых, большинство фитнес-браслетов можно синхронизировать с различными приложениями. В целях защиты персональных данных стоило бы отказаться от такой универсальности и ограничиться одним приложением. Если говорить о военной отрасли, безусловно, должны использоваться особые технологии. Закупка гражданских гаджетов для использования на военных базах — странный шаг».