跑步和健身應用程式其本質存取很多用戶的個人數據,尤其追蹤互外活動(主要是跑步),並收集心跳、身體活動指標、走路步數、距離和海拔變化等等,但大家又有沒有正確設定應用程式,確保資料不會落入壞人手中!
健身應用程式引起的災難
過去有不少案例是由健身或跑步應用程式引發災難性後果,例如數年前有跑步應用程式因為公開地圖,結果揭露了數個秘密軍事設施,在2023年夏季,據報一名殺手利用跑步應用程式的資料,射殺一名正在跑步的俄羅斯潛艇指揮官。洩露地理位置資料並不局限於對軍事人員構成危險,名人、政客或公司高層也有機會成為被攻擊的對象,一旦攻擊者掌握受害者的活動數據,就能藉此進行勒索和恐嚇,當受害者聽到對方知道所有移動和生活範圍,很有機會掉入恐懼而滿足任何要求。
除了直接威脅,地理位置資料再配合其他應用程式的資料外洩或人肉搜尋,就能夠發動針對性攻擊,儘管有人會認為自己只是普通人,不會吸引騙徒準備複雜攻擊,事實上所有人都有機會成為受害者,因為犯罪份子的最終目的有時並非求財。而且並非只有跑步應用程式收集和分析地理位置資料,所有健身應用程式都會監察活動和身體狀態,更會展示很多個人健康的情報,可用於社交工程攻擊,因為瞭解越多受害者,就能發動越精細和有效的行動。
選擇跑步應用程式和私隱設定的貼士
首先,你不應該每個跑步應用程式都安裝,然後選擇最喜歡的一個,如此一來你便會把自己的個人資料交給所有應用程式,大幅增加資料落入壞人手上的風險,使用越少應用程式,資料外洩的風險越低,但要謹記沒有公司能保證100%安全。部份公司會比較著重用戶資料的安全,大家應該選擇認真對待資料防護的應用程式,小心閱讀個人私隱條款,負責任的開發者會列明收集的數據、用途、可能與第三方分享的資料、用戶對個人數據的權利等等,安裝前也可以在網上搜尋相關應用程式曾否發生資料外洩,當然也不要忘記瀏覽用戶評論。
一旦選擇和安裝程式,下一步就是設定私隱設定,很不幸地很多跑步應用程式分享收集到的數據(包括你的地理位置),而且是預設向整個互聯網分享。一如其他應用程式,使用智能電話操作系統的功能以降低追蹤,例如在iOS,在首次啟動應用程式時,可以阻止它追蹤你在其他應用程式上的活動,另外,不要容許應用程式存取它的功能不需要的權限,例如相片、來電、訊息或聯絡人,為降低位置資料被收集的數量,不要容許應用程式持續監察你的地理位置,iOS和最新版本的Android可以選擇「Only while using the app」選項,用戶可以隨時更改允許的權限。
定期檢查智能電話的私隱與保安設定,查看哪些應用程式對哪些數據擁有存取權限,不過要注意,如果有人猜你的密碼,私隱設定不會防止你被追蹤,可惜現時支援雙重認證(2FA)的跑步應用程式並不多,所以最佳的保護帳號方法是設定長和複雜的密碼,建議至少16個字的組合,而且是唯一,沒有被重複使用,如果怕忘記密碼,可以利用密碼管理工具進行協助。
資料來源:Kaspersky Blog