西方健身软件再曝泄密隐患

本报特约记者 张亦驰 魏云峰

继Strava健身软件的“全球热力图”泄露美俄海外军事基地事件之后，另一款健身软件8日再曝泄密事件。荷兰新闻网站DeCorrespon⁃dent和开源调查网站Bell⁃ingcat的共同调查发现，在西方广泛使用的一款健身应用程序泄露了用户的各种信息，可以轻易发现在军事基地、间谍机构工作的敏感人员个人资料。专家表示，尽管这款健身软件目前在国内使用尚不算普遍，但接连发生的泄密事件显示，防止健身手环、运动手表这类可穿戴电子设备和相关健身软件的大数据泄密，必须提上议事日程。

“网上找间谍”

报道称，芬兰“极地”公司是西方流行的健身软件“极地流动”的开发商。后者通过该公司生产的多型便携式设备，可以记录和上传用户的体重、运动轨迹等信息。但调查发现，通过该软件记录的锻炼信息，足以识别出在军事基地和政府大楼工作人员的姓名、住址等详细资料，包括那些“参与打击‘伊斯兰国的战斗机飞行员”。

调查发现，只需要从“极地流动”软件中获取“开发者文档”，相关人员不仅可以浏览用户共享的公共数据，还可以得到那些将个人资料设置为隐私的用户的健身踪迹信息，这些信息涉及数百万使用该软件的用户。

据介绍，要查阅这些个人信息并不难——只需要找到一个已知的军事基地或政府部门，选择一个曾在附近发布过锻炼信息的用户来识别相关的个人简介，然后看看这个人还在哪里锻炼过。由于人们倾向于到家时关闭或离家时启动健身追踪器，这种习惯无意中在地图上标记出自己的家庭住址。另外，用户经常在个人资料中使用全名，并附有自己的资料图片。利用这些信息，就可以交叉确认用户的全名、家庭住址、工作地点以及习惯的行进路线等。

由于没有限制，调查人员已经确定超过6400名被认为在敏感地点工作的用户。报道称，调查记者轻易地找到美国国家安全局、美国特勤局、英国军情六处以及俄罗斯、法国、荷兰多家情报机构工作的人员姓名和地址。该数据还可以识别核储存设施、导弹发射井、监狱和关塔那摩等地的工作人员。用这个方法，在美国敏感政府所在地附近工作的外国军事和情报人员的信息也同样暴露无遗。“外国情报机构或心怀恶意者同样容易得到相同的数据”，不难想象极端分子或外国情报部门如何以危险的方式利用这些信息，尤其是那些有关多个核武器储存地点人员的数据。

即便对于普通用户，这些个人信息的泄露也构成风险，因为怀有恶意的人可以使用该软件查看某个地区的用户何时离开家或离开多长时间。

今年第二起泄密事件

尽管报道指责“极地”公司允许用户查看特定个人的所有锻炼信息是导致这次泄密事件的根源，不过该公司显然不想“背锅”。报道称，在一份声明中，“极地”公司表示已暂停相关功能，但否认有任何信息泄露。

实际上，确实也很难让软件开发商为这类事件“买单”。专家表示，这已经是今年第二起因为健身软件引发的潜在敏感信息泄露事件了。在今年初发生的Strava健身软件的“全球热力图”泄密事件中，由于该软件可以记录全球2700万使用者上传的每一次健身活动和移动情况，并将这些信息分享给他人，结果一系列隐秘的军事基地在“全球热力图”上暴露无遗。通过对海量数据的综合，该软件曝光了美俄等国的军事基地、秘密设施和军事巡逻路线。“如果士兵像一般人一样使用该应用，他们的锻炼路线就会被清晰地追踪到，这对于军人而言是相当危险的。”但即便如此，相关厂商没有受到惩罚，只是关闭相关服务了事。

中国怎么办？

这两起让西方大为震动的泄密事件主要是因为健身应用获取的众多用户位置信息容易被得到和分析，尽管单个数据还不足以构成泄密风险，但是对大量数据的分析，就可能暴露很多敏感信息。上次是用户的“热力图”暴露了秘密的军事基地，此次则是通过敏感单位地址，找到在这些单位工作的军事人员或情报人员。

值得警惕的是，目前国内的健身应用程序和硬件也越来越普及，相关软硬件的开发商应该在技术上做好防范，防止大数据泄露导致的泄密风险，杜绝发生类似的事件。

对于军方来说，也必须要把防范个人可穿戴电子设备、手机的位置信息泄密提上议事日程。专家表示，对此可以分步进行，比如先对现有的运动手环和运动应用甚至是手机采取审核准入机制，军人只能使用经过审核的相关软硬件。美国国防部就已采取类似的措施。其次，适时研发适合军人使用的手机，考虑取消摄像摄影、位置共享等。第三，对于极为敏感的岗位人员，要严格限制在工作地点使用智能手机。▲