Die Fitness-App Strava ist im Bikebereich weltweit beliebt – dort können Fahrradtouren, Läufe und Wanderungen aufgezeichnet und ausgewertet werden. Seit einigen Jahren gibt es auch die Heatmap-Funktion, mit deren Hilfe man beliebte Strecken entdecken kann. Laut den Entwicklern soll dies anonym ablaufen, doch Forscher der North Carolina State University konnten zeigen, wie man durch das Aufbereiten der anonymen Daten und eine Bildanalyse die Adressen von Strava-Nutzern ausfindig machen kann. Sogar, wenn das Profil auf privat gestellt ist, werden die Daten zur Heatmap beigetragen.
Was ist das Problem?
Das genaue Vorgehen ist im PDF-Dokument der Forscher beschrieben (zum Dokument). Bei dem Vorgehen werden öffentlich zugängliche Heatmap-Daten von Strava ausgewertet und über eine Bildanalyse Adressen von Nutzern gefunden. Auch User, die ihre Konten auf „Privat“ gestellt haben, sind davon betroffen. Je aktiver Nutzer sind und je abgelegener sie wohnen, desto präziser funktioniert das Tracking. Nutzer müssen aktiv die Lieferung von Heatmap-Daten deaktivieren oder den Endpunkt ihrer Aktivitäten ausstellen, wenn sie nicht auf der Karte aufgezeichnet werden wollen. Die Erfolgsquote, Nutzern bis nach Hause zu folgen, liegt bei 37,5 Prozent.
Was genau wurde gemacht?
In einer Studie wurde eine Sicherheitslücke in der Strava-App entdeckt, die durch die Nutzung von Heatmap-Daten die Offenlegung privater Benutzerinformationen ermöglichen kann. Die Studie nutzte Screenshots der Heatmap, um über einen Monat hinweg 491.463 Datensätze aus Arkansas, Ohio und North Carolina zu erfassen. Die Forscher konnten den Pfad der Aktivitäten von Benutzern verfolgen und diesen bis zu ihren Wohnadressen zurückverfolgen.
Für die Datenanalyse wurden spezielle Tools genutzt, um eine „Heat-Path“-Identifikation durchzuführen, wobei der Fokus auf Aktivitäten lag, die deutlich von einer Wohnadresse ausgingen. Durch den Vergleich von den so lokalisierten Strava-Aktivitätsdaten mit den offiziellen Wählerregistern konnten die Forscher Benutzerprofile den Namen zuordnen.
Die Studie nutzte auch die Suchfunktion von Strava, um Benutzerdaten zu sammeln und sie mit den Wählerregistern abzugleichen. Dies erlaubte es, genaue Koordinaten von den Adressen der Nutzer zu erstellen. Die Endphase der Analyse umfasste den Abgleich von zwei Datenbanken, die Informationen über die erfassten Endpunkte und die Heimadressen der Strava-Benutzer enthielten.
Trotz der genauen Ergebnisse wies die Studie auch auf eine Reihe von Einschränkungen hin. Unter anderem wurde angenommen, dass Benutzer ihre Aktivitäten von zu Hause aus starten, was nicht immer der Fall ist. Außerdem konnten nur rund 37% der anvisierten Strava-Benutzer aus den drei untersuchten Staaten mit Wählerregistern abgeglichen werden. Schließlich war die Studie abhängig von der Suchfunktion von Strava, wobei Benutzer, die ihre Heimatstadt nicht korrekt eingeben, möglicherweise nicht gefunden wurden.
Insgesamt zeigte die Studie, dass es möglich ist, den genauen Wohnort bestimmter Benutzer zu entdecken, abhängig davon, wie aktiv ein Benutzer ist und wie viel „Heat“ in einer Stadt generiert wird – also wie viele Aktivitäten dort erfasst werden. Ein erfolgreicher Angriff liegt bei einer Treffergenauigkeit von 100 Metern bei einer Wahrscheinlichkeit von 31,7%. Die Aktivität eines Benutzers erhöht ebenfalls die Wahrscheinlichkeit eines erfolgreichen Angriffs. Die Studie geht davon aus, dass ein durchschnittlicher Benutzer 308 Aktivitäten hochlädt – die Wahrscheinlichkeit, entdeckt zu werden beträgt in diesem Fall 37,5 %.
Lösungsvorschlag für Strava
Die Forscher schlagen zwei Lösungsansätze zur Minderung der Privatsphäre-Risiken bei Strava-Heatmaps vor:
- Gezielte Entfernung von Heatmap-Daten nahe Wohnbereichen: Indem Datenpunkte, die sich nah an Häusern befinden, nicht gespeichert werden, wird die Möglichkeit, einzelne Nutzer zuzuordnen, verringert. Zusätzlich sollte Strava eine Mindestnutzeranzahl pro Pfad festlegen, um ‚k-Anonymität‚ zu gewährleisten und damit Deanonymisierung unmöglich zu machen.
- Nutzung von Datenschutzzonen für Heatmap-Daten: Strava könnte seine bestehende Funktion der versteckten Zonen auf Heatmaps anwenden. Dies würde den Nutzern erlauben, die Start- und Endpunkte ihrer Aktivitäten zu verbergen. Auch hier würde eine Mindestnutzeranzahl pro Pfad die ‚k-Anonymität‘ sichern.
Lösungsvorschlag für Dich
Wenn Du weiter Daten über Strava erfassen willst, aber vermeiden möchtest, dass man Dich über die Heatmap eventuell zuordnen kann, reicht es nicht aus, die Kartensichtbarkeit einzustellen (Start und Endpunkt einer Aktivität zu verstecken) – denn trotzdem landen die Daten seit 2022 in der Heatmap („With these updates, data within hidden zones of activities that are shared with ”Followers” or ”Everyone” will now be used in de-identified aggregated data to help the Strava community” (Quelle)).
Stattdessen musst Du die Funktion deaktivieren, die Deine Daten der Heatmap beisteuert. In der App findest Du das unter Profil ➡️ Privatsphäre Einstellungen ➡️ Aggregierte Datennutzung.
Datenschutz in Strava – wie wichtig ist Dir das Thema?