Una laguna en una popular aplicación de fitness fue aprovechada recientemente por desconocidos para seguir a miembros de las fuerzas de seguridad israelíes mientras se desplazaban por las bases militares del país e incluso cuando viajaban al extranjero, según reveló el martes un grupo de investigación en línea.
Según la investigación, los desconocidos utilizaron una función de la aplicación basada en el GPS para crear rutas de carrera compartibles en las bases del ejército israelí y en los lugares de seguridad. Cuando estas rutas eran empleadas por el personal de seguridad para hacer ejercicio, la aplicación exponía su información privada de seguimiento de la ubicación al creador de la ruta, incluso si tenían su configuración de seguridad al máximo nivel.
La operación fue descubierta por el grupo israelí FakeReporter y fue reportada por primera vez por The Guardian. El informe decía que la función de la aplicación Strava podría haberse utilizado también para rastrear al personal de seguridad israelí mientras se desplazaba por el mundo, incluso en misión oficial.
FakeReporter dijo que la información de alrededor de 100 individuos de las fuerzas de seguridad que usan la aplicación de fitness Strava había sido comprometida, incluidos los miembros de las unidades de inteligencia y la Fuerza Aérea de Israel, así como los individuos en el Ministerio de Defensa.
The Guardian dijo que había visto los datos de un individuo que parecía estar destinado en una base vinculada al programa nuclear de Israel, y pudo rastrear a esa persona en sus visitas a otros sitios militares, así como a un país extranjero.
El hackeo explotó rutas en seis instalaciones militares en Israel, dijo FakeReporter.
The Guardian dijo que no estaba claro quién estaba detrás del esfuerzo de recopilar la información, pero que habían encontrado una manera de rastrear a las personas mediante la explotación de una característica específica de la aplicación, incluso si el usuario tenía la configuración de privacidad más fuerte en su teléfono y en la aplicación.
Los hackers crearon un perfil anónimo en la aplicación con el nombre de “Ez Shl”, indicando su ubicación como Boston, Massachusetts. Cualquiera puede crear un perfil y el usuario no necesita demostrar que es legítimo de ninguna manera. Se desconoce quién ha creado el usuario.
Esa cuenta utilizó entonces la función de “segmento” de la aplicación, que permite a los usuarios subir información sobre una ruta de carrera o de bicicleta para que otros puedan utilizarla y competir contra ellos.
Esas rutas se pueden subir a través de la app, pero también utilizando los datos del GPS. Esto significa que el usuario no necesita haber estado realmente en el lugar y Strava no tiene forma de comprobar si es legítimo. De hecho, según The Guardian, muchas de las rutas de la aplicación están claramente generadas de forma artificial, ya que presentan velocidades y terrenos imposibles.
El periódico británico señaló que, aunque los usuarios pueden aumentar su configuración de seguridad en la aplicación para que su información solo pueda ser vista por los seguidores confirmados, la información sobre los segmentos que han corrido puede ser vista a menos que entren en la configuración de la aplicación cada vez para asegurarse de que una carrera individual o un paseo en bicicleta estaba oculto.
A menos que hagan ese cambio -que probablemente no sabrán que es necesario-, su foto, nombre e inicial del apellido serán visibles en los segmentos que hayan corrido, una característica que, según The Guardian, se implementó en la aplicación para fomentar la “competencia amistosa” entre los usuarios. El acceso a los perfiles también puede revelar los recorridos anteriores realizados por el usuario.
La directora ejecutiva de FakeReporter, Achiya Schatz, dijo a The Guardian que las autoridades israelíes fueron informadas de la brecha tan pronto como la descubrieron, y que Strava también fue informada del problema.
“Nos pusimos en contacto con las fuerzas de seguridad israelíes en cuanto tuvimos conocimiento de este fallo de seguridad. Después de recibir la aprobación de las fuerzas de seguridad para proceder, FakeReporter se puso en contacto con Strava, y ellos formaron un equipo superior para abordar el problema”, dijo Schatz.
“Al explotar la capacidad de subir archivos de ingeniería, revelando los detalles de los usuarios en cualquier parte del mundo, los elementos hostiles han dado un paso alarmante para explotar una aplicación popular con el fin de dañar la seguridad de los ciudadanos y los países por igual”, dijo Schatz.
En una declaración a The Guardian, Strava dijo que había tomado “las medidas necesarias para remediar esta situación”, y animó a los usuarios a comprobar la configuración de la aplicación “para asegurarse de que sus selecciones en Strava representan su experiencia prevista”.
No es la primera vez que la aplicación Strava se ve envuelta en un escándalo de privacidad relacionado con miembros del ejército en activo.
El año pasado, el diario Haaretz informó de que un miembro del Shin Bet había revelado inadvertidamente información sobre viajes al extranjero de oficiales a través de la app Strava, incluso a países que no tenían relaciones con Israel.
En 2018, Strava Labs publicó un mapa que mostraba los movimientos de los usuarios de su app en todo el mundo, indicando la intensidad de los viajes a lo largo de una ruta determinada, una “visualización directa de la red global de atletas de Strava”, decía.
Sin embargo, pronto quedó claro que el mapa mostraba información potencialmente sensible sobre personal militar estadounidense y aliado en lugares como Afganistán, Irak y Siria.