Un gruppo investigativo online ha rivelato martedì che individui non identificati hanno sfruttato una scappatoia in una popolare app di fitness per rintracciare i membri delle forze di sicurezza israeliane mentre si spostano nelle basi militari del paese e persino viaggiano all’estero.
Secondo l’indagine, le persone non identificate hanno utilizzato una funzione basata su GPS nell’app Strava per creare modalità condivisibili di funzionamento nelle basi dell’IDF e nei siti di sicurezza. Quando il personale di sicurezza l’ha utilizzato per un allenamento, l’app ha esposto le informazioni di rilevamento della posizione al creatore del percorso, anche se aveva le impostazioni di sicurezza al livello più alto.
L’operazione è stata rivelata dal gruppo israeliano FakeReporter e riportata per la prima volta da The Guardian. Il rapporto afferma che la funzione nell’app Strava avrebbe potuto essere utilizzata anche per tracciare il personale di sicurezza israeliano mentre viaggiava per il mondo, anche mentre era in affari ufficiali.
FakeReporter ha affermato che le informazioni su circa 100 membri delle forze di sicurezza che utilizzano l’app di fitness Strava sono state violate, inclusi membri delle unità di intelligence dell’aeronautica israeliana, nonché individui del ministero della Difesa.
Il Guardian ha detto di aver visto i dati di un individuo che sembrava essere stato di stanza in una base collegata al programma nucleare israeliano ed è stato in grado di rintracciare quella persona durante le visite ad altri siti militari e in un paese straniero.
FakeReporter ha affermato che l’hacking ha sfruttato metodi in sei installazioni militari in Israele.
Il Guardian ha affermato che non era chiaro chi ci fosse dietro lo sforzo di raccolta di informazioni, ma avevano trovato un modo per rintracciare le persone sfruttando una funzione specifica nell’app, anche se l’utente aveva le impostazioni di privacy più potenti sul proprio telefono e sul app.
בדוח החדש שפרסמנו היום, מתוא כיצד כל דם יכול לזיף ״ Segmento “ע״י טעינת קבצי gps מהונדסים לסטרבה משל שם לינ לית ער
דיוח שקיבלנו הוביל ח החוקרים לגורמים עלומים שיצרו קבצים ומקטעי ריצה מזויפים כדי לחשוף כמום שב שב כמשם של של שם שם שם שם שם שם שם שם שם שם שם שם שם שם שם שם שם שם שם שם שם שם שם שם שם שם שם שם שם שם שם שם שם שם שם שם שם שם שם שם שם שם שם שם שם שם שם שם שם שם שם שם שם שם שם שם שם שם pic.twitter.com/dGjBM9RnU0
— פייק ריפורטר | FakeReporter (FakeReporter) 21 giugno 2022
Gli hacker hanno creato un profilo anonimo sull’app con il nome “Ez Shl”, individuandolo a Boston, nel Massachusetts. Chiunque può creare un profilo e l’utente non ha bisogno di dimostrare la propria legittimità in alcun modo. Non è noto chi ha creato l’utente.
Quell’account ha quindi utilizzato la funzione “divisa” dell’app, che consente agli utenti di caricare informazioni sulla propria pista da jogging o ciclabile in modo che altri possano usarla e competere contro di loro.
Queste tracce possono essere caricate tramite l’app ma anche utilizzando i dati GPS. Ciò significa che l’utente non ha bisogno di essere effettivamente sul sito e Strava non ha modo di verificare se è legittimo o meno. In effetti, il Guardian ha affermato che molte delle tracce sull’app sono chiaramente create artificialmente perché presentano velocità e terreno impossibili.
Il quotidiano britannico ha affermato che mentre gli utenti possono aumentare le proprie impostazioni di sicurezza sull’app in modo che le loro informazioni possano essere generalmente visualizzate solo dai follower approvati, le informazioni sui settori in cui hanno giocato possono essere visualizzate a meno che non accedano ogni volta alle impostazioni dell’app per garantire che le singole corse sono nascoste o la guida in bicicletta.
A meno che non apportino questa modifica – che difficilmente sapranno che è necessaria – la loro foto, nome e cognome appariranno sulle parti che hanno interpretato, una funzionalità che secondo il Guardian è stata implementata nell’app per incoraggiare la “competizione amichevole” tra gli utenti. L’accesso ai profili può anche rivelare i percorsi precedenti che l’utente ha intrapreso.
illustrativo. Adolescenti israeliani corrono come parte di un programma di preparazione pre-esercito a Palmach Beach, 15 novembre 2020 (Flash90)
Il CEO di FakeReporter, Achia Schatz, ha detto al Guardian che le autorità israeliane erano a conoscenza della violazione non appena l’hanno scoperta e che anche Strava è stato informato della questione.
Abbiamo contattato le forze di sicurezza israeliane non appena siamo venuti a conoscenza di questa violazione della sicurezza. Dopo aver ottenuto l’approvazione dalle forze di sicurezza per andare avanti, FakeReporter ha contattato Strava e hanno messo insieme un grande team per affrontare il problema”, ha affermato Schatz.
“Sfruttando la capacità di caricare file ingegnerizzati, esponendo i dettagli degli utenti in qualsiasi parte del mondo, gli elementi ostili hanno compiuto un preoccupante passo avanti verso lo sfruttamento di un’app popolare per danneggiare allo stesso modo la sicurezza dei cittadini e delle nazioni”, ha affermato Schatz.
In una dichiarazione a The Guardian, Strava ha affermato di aver adottato “le misure necessarie per affrontare questa situazione” e ha incoraggiato gli utenti a controllare le impostazioni sull’app “per assicurarsi che le loro scelte in Strava rappresentino l’esperienza prevista”.
Questa non è la prima volta che Strava viene coinvolta in uno scandalo sulla privacy che coinvolge membri dell’esercito in servizio.
L’anno scorso, il quotidiano Haaretz ha riferito che un membro dello Shin Bet ha inavvertitamente divulgato informazioni su funzionari in viaggio all’estero tramite l’app Strava, anche in paesi che non hanno relazioni con Israele.
Nel 2018, Strava Labs ha rilasciato una mappa che mostra i movimenti degli utenti dell’app in tutto il mondo, indicando l’intensità del viaggio lungo un determinato percorso: “una visualizzazione diretta della rete globale di atleti di Strava”.
Tuttavia, è diventato presto evidente che la mappa mostrava informazioni potenzialmente sensibili sul personale militare statunitense e sui loro alleati in luoghi tra cui Afghanistan, Iraq e Siria.
L’AFP ha contribuito a questo rapporto.
