Aktuelles, Branche - geschrieben von dp am Montag, November 11, 2024 11:34 - noch keine Kommentare
Fremd-Zugriff auf Standortdaten: Lauf-Apps können Gefahr für eigene Sicherheit bergen
Leibwächter des französischen Präsidenten hatten sich bei Lauf-App angemeldet und dabei offenbar zum Teil hochsensible Informationen preisgegeben
[datensicherheit.de, 11.11.2024] Technische Hilfsmittel für die eigene Fitness erfreuen sich offensichtlich großer Beliebtheit. „Vor allem Apps wie ,Strava’ sind praktische Helfer für Fitnessbewusste: Sie tracken die zurückgelegten Strecken und Kilometer pro Monat und liefern am Ende des Tages eine Auswertung.“ Doch der Hype um solche Hilfsmittel hat wohl auch Schattenseiten, wie der französische Präsident, Emmanuel Macron, es habe erfahren müssen: Seine Leibwächter hätten sich bei der Lauf-App angemeldet und dabei anscheinend zum Teil hochsensible Informationen wie den Aufenthaltsort des Präsidenten preisgegeben. „Leider ist das keine Überraschung, denn es ist nicht das erste Mal, dass ,Strava’ und andere Soziale Netzwerke ein Risiko für die Privatsphäre oder sogar die körperliche Sicherheit ihrer Nutzer darstellen“, kommentiert Jake Moore, IT-Sicherheitsexperte bei ESET.
In Israel soll ein Unbekannter über eine Lauf-App an Bewegungsprofile Tausender israelischer Soldaten gelangt sein
Die französische Zeitung „Le Monde“, die hinter dieser Enthüllung steckt, hat weitere Beispiele parat: Soll soll in Israel ein Unbekannter über „Strava“ an die Bewegungsprofile Tausender israelischer Soldaten gelangt sein – und das mit einfachsten technischen Mitteln:
„Mit Hilfe eines Smartphones und der dazugehörigen App konnte der Unbekannte seinen Standort in die Nähe von Militärbasen und anderen kritischen Bereichen verlegen.“ Dadurch seien andere Profile in der Nähe sichtbar geworden – inklusive der bisherigen Bewegungsaktivitäten. In einigen Fällen habe sich sogar der Wohnort des Militärpersonals herausfinden lassen.
Vorfälle aus Frankreich und Israel zeigen: Laxer Umgang mit Lauf-Apps kann hochsensible Standortdaten für Fremde verfügbar machen
Diese Fälle aus Frankreich und Israel zeigten: Ein laxer Umgang mit den eigenen Daten reiche oft aus, um hochsensible Standortdaten verfügbar zu machen. „Das ist vor allem für Mitarbeiter in sensiblen Bereichen wie Politik und Militär problematisch, kann aber auch für private Nutzer zu Problemen führen: In England konnten Kriminelle einem App-Nutzer über öffentliche Bewegungsprofile Fahrräder im Gesamtwert von über zwölftausend Pfund stehlen.“
Das Dilemma laut ESET: Kriminelle brauchten oft nicht mehr als einen Computer oder ein Smartphone, um an ihr Ziel zu gelangen. Gleichzeitig benötigten diese Apps Zugriff auf den genauen Standort, um wie gewünscht zu funktionieren. „Apps wie ,Strava’ sind nicht per se gefährlicher als andere Anwendungen“, erläutert Moore. Vielmehr sollten die Nutzer darauf achten, „wie sie sie nutzen und welche Daten sie preisgeben“.
Lauf-Apps sollten über Datenschutzeinstellungen sicherer gemacht werden
Nutzer könnten die Datenschutzeinstellungen der meisten Tracking-Apps so konfigurieren, „dass nur autorisierte Personen über die eigenen Aktivitäten informiert werden“. Die „Heatmap“ beispielsweise, auf der u. a. eigene Laufrouten dargestellt würden, müssten Nutzer selbst aktivieren. Aber auch in anderen Einstellungen könne man „noch ein paar Stellschrauben anziehen, um sicher zu bleiben“.
Bei „Strava“ gebe es beispielsweise im Einstellungsmenü den Punkt „Privatsphäre-Einstellungen“. Unter Umständen könnten Daten dort freizügig dargestellt werden, z.B. sei das eigene Profil und damit Name, Aktivitäten, Fotos und Statistiken öffentlich sichtbar. Die Sichtbarkeit des Profils könne indes auf Abonnenten beschränkt werden. Die Aktivitäten, zu denen auch Trainings und zurückgelegte Strecken gehörten, ließen sich besser verbergen: Mit der Einstellung „Nur du“ könne nur der Nutzer seine eigenen Aktivitäten verfolgen. „Die Gruppenaktivitäten, das sind beispielsweise Aufzeichnungen von gemeinsamen Läufen, lassen sich sogar ganz deaktivieren.“
Aktivitätskarten in Lauf-Apps sollten für Fremde deaktiviert werden
Zudem können Nutzer bei „Kartensichtbarkeit“ bestimmte Adressen definieren, an denen die App keine Start- und Endpunkte von Aktivitäten aufzeichnen soll. Auch dort könnten Aktivitätskarten für andere deaktiviert werden.
„,Strava’-Nutzer sollten die ,private’ Nutzung der App in Betracht ziehen und es sich zweimal überlegen, bevor sie die optionale ,Heatmap’-Funktion aktivieren, insbesondere wenn sie den Verdacht haben, verfolgt zu werden oder in einem Bereich mit höheren Sicherheitsanforderungen arbeiten“, so Moores Fazit.
Weitere Informationen zum Thema:
Le Monde, Sébastien Bourdon & Antoine Schirer, 04.11.2024
StravaLeaks : en pleine guerre, des milliers de soldats israéliens identifiables par le biais de l’application sportive / Malgré les alertes, l’armée israélienne laisse toujours des militaires dévoiler des informations sensibles via Strava. L’enquête du « Monde » a conduit Israël à se croire victime d’une opération d’espionnage par un service étranger
MailOnline, Sophie Law, 21.09.2028
Thieves steal cycling enthusiast’s entire collection of specialist racing bikes ‚after tracking down the 51-year-old’s home using routes he’d posted on fitness app Strava‘
datensicherheit.de, 10.07.2018
Fitness-App: Datenpanne könnte Mitarbeitern sensibler Bereiche schaden / Tim Berghoff kommentiert aktuelle Entdeckung einer Schwachstelle
datensicherheit.de, 08.09.2014
Wearable Technology: Tech-Gadgets verraten persönliche Daten und Angewohnheiten / „Tragbare Technologie“ misst neben dem Pulsschlag auch den Kalorienverbrauch, Schlafgewohnheiten oder Bewegung gibt außerdem Aufschluss über den Standort des Trägers
Aktuelles, Experten - Dez 11, 2024 21:16 - noch keine Kommentare
„Power Off“: BKA meldet internationale Anti-DDoS-Operation gegen Stresser-Dienste
weitere Beiträge in Experten
- vzbv-Stellungnahme zum Forschungsdatenzugang: Mehr Transparenz auf digitalen Plattformen gefordert
- Bitkom artikuliert vorab Bedenken: KI-Stellungnahme des EDSA noch im Dezember 2024 erwartet
- Verbraucherzentrale reicht nach BGH-Urteil zu facebook-Datenleck Sammelklage ein
- Vorratsdatenspeicherung in Dauerschleife: eco fordert endlich klare Linie zum Schutz der Grundrechte
- Crimenetwork: BKA und ZIT gelang Abschaltung
Aktuelles, Branche, Studien - Dez 11, 2024 21:25 - noch keine Kommentare
Deepnude AI Image Generator: Cyber-Kriminelle lockten Opfer mit speziellem Köder
weitere Beiträge in Branche
- Mitarbeiterverhalten: CyberArk-Studie 2024 deckt Sicherheitsrisiken auf
- KnowBe4 veröffentlicht Phishing-Trends im dritten Quartal 2024 – QR-Code-Phishing auf dem Vormarsch
- Banken müssen Cyber-Bedrohungslandschaft mit fortschrittlicher Sicherheitsstrategie begegnen
- KI-basierte Deepfakes zur effektiven Täuschung als Angriffsvektor etabliert
- Finanzsektor: Digitalisierung und Cloud bieten idealen Nährboden für Cyber-Angriffe
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren