Die Fitness-Tracking-Seite 'Polar Flow' erweist sich als Achillesferse für das US-Militär, den Geheimdienst NSA oder das FBI oder weitere Regierungsmitglieder und Geheimnisträger. Über die Polar Fitness-App laden Angehörige von Geheimdiensten (NSA), FBI, Militärangehörige oder Botschaftsmitarbeitern ihre persönlichen (Fitness-)Daten hoch. Diese können öffentlich frei gegeben werden. Trainieren die Personen an geheimen Orten wie Militärbasen und Flugplätze, Atomwaffenlager oder Botschaften auf der ganzen Welt, lassen sich hochgeheime Informationen quasi per Mausklick im Internet abgreifen. Ergänzung: Polar hat wohl die Funktion zwischenzeitlich deaktiviert.
Anzeige
Zum Wochenstart noch eine Sicherheitsmeldung, die Couch-Potatos zeigt, dass die Fitness-Freaks gefährlich leben. Denn ein Couch-Potato wird kaum ein Fitness-Armband tragen und seine Daten per App via Bluetooth abrufen und dann in die Cloud übertragen.
Strava-Leak bereits im Januar 2018
Ende Januar 2018 schrieb ich bereits im Blog-Beitrag Sicherheitinfos zum Wochenstart (29.1.2018) über einen Sicherheitsvorfall des Anbieters Strava. Deren App erfasste die Fitness-Daten von Militärangehörigen und ermöglichte den Vergleich mit anderen Soldaten per Internet.
(Strava Heat Map einer Militärbasis in Afganhistan)
Das ermöglichte wunderbare Karten von Militäranlagen anhand der erfassten Laufstrecken zu erstellen (siehe obiges Bild).
Anzeige
Jetzt ist Polar an der Reihe
Die Website bellingcat.com, die sich auf Online-Enthüllungen (Online Investigations) spezialisiert hat, berichtet hier von einem neuen Datenskandal (obwohl ich da keinen Skandal erkenne, da ist Versagen der Abwehr sowie die Blödheit der Benutzer der Quell des Übels).
Polar enthüllt über , eine Fitness-App und die Plattform 'Polar Flow' die Wohnorte, Trainingsstrecken und weitere Daten von Menschen, die an geheimen Orten wie Geheimdiensten, Militärbasen und Flugplätzen, Atomwaffenlagern und Botschaften auf der ganzen Welt trainieren. Das ist das Ergebnis einer gemeinsamen Untersuchung von Bellingcat und der niederländischen Journalistenplattform De Correspondent.
Die Nutzer veröffentlichen ihre Daten selbst
Um dem 'Skandal' etwas die Spitze zu nehmen: Das ganze System ist nur so doof wie die teilnehmenden Benutzer. Der obige Strava-Fall hätte nie passieren dürfen und spätestens dann hätten die Betroffenen die Reißleine ziehen und die Fitness-App samt Daten beim Anbieter löschen müssen. Was ist passiert?
Polar nutzt die Website "Polar Flow" als soziale Plattform, auf der Benutzer ihre Läufe bzw. Trainingsdaten austauschen können. Dazu werden diese Daten öffentlich zur Einsicht freigegeben. Das Problem: Im Vergleich zu den ähnlichen Diensten von Garmin und Strava veröffentlicht Polar mehr Daten pro Benutzer, und das auf eine leichter zugängliche Weise, mit potenziell katastrophalen Ergebnissen.
(Quelle: Polar Flow/Bellincat – Übungen auf einer Militärbasis im Nahen Osten. Rote Quadrate mit weißen Punkten sind Cluster aus vielen weiteren Sitzungen, die an dieser Stelle begonnen haben.)
Durch die Darstellung aller Sitzungen eines Individuums auf einer einzigen Karte zeigt Polar nicht nur die Herzfrequenz, Routen, Daten, Zeit, Dauer und Geschwindigkeit der Übungen, die von Einzelpersonen (auch in Militäranlagen) durchgeführt werden. Sondern es werden natürlich auch die gleichen Informationen aus den Häusern der Personen übertragen.
Mit ein paar Mausklicks zum Bewegungsprofil und mehr
Um sich ein Bild zu machen, geht man folgendermaßen vor: Man sucht eine Militärbasis in Polar Flow aus und geht zu einer dort veröffentlichten Übung. Dann identifiziert man das an die öffentliche Übung angehängte Profil. Schon kann man sehen, wo diese Person sonst noch trainiert hat. Da Menschen dazu neigen, ihre Fitness-Tracker ein- und auszuschalten, wenn sie ihre Häuser verlassen oder betreten, markieren sie unwissentlich ihre Häuser auf der Karte. Hinzu kommt, dass Nutzer oft ihren vollen Namen in ihren Profilen, begleitet von einem Profilbild, verwenden. Auch wenn die Personen ihr Facebook-Profil nicht mit ihrem Polar-Konto verbunden haben, werden sie quasi gläsern.
(Quelle: Polar Flow/Bellincat – geheime Militäranlagen)
Interessant wird das alles, wenn man sieht, dass die von Google in Maps benutzten Satellitenbilder geheime Militäranlagen pixeln. Diese gepixelten Fotos werden auch in den Polar Flow Karten verwendet. Dort wird aber plötzlich sichtbar, dass in den gepixelten Bereichen Übungen stattfinden.
Auch Strava und Garmin bieten ähnliche Funktionen. Dort ist es aber wesentlich aufwändiger bis unmöglich, an bestimmte Daten zu gelangen. Polar Flow stellt nicht nur einen einfachen Zugriff auf die Daten bereit, sondern zeigt auch Werte bis zum Jahr 2014 weltweit auf einer Karte an.
Selbstbedienungsladen für Gegenabwehr?
Das ist quasi ein Schlaraffenland für Gegenspionage und Gegenabwehr. Man braucht keine Spione mehr vor Ort, ein Internetzugang reicht für die Fernaufklärung. Das Bellingcat-Team schreibt: Mit nur wenigen Mausklicks konnte ein hochrangiger Offizier eines Flugplatzes identifiziert werden, der für seine Atomwaffen bekannt ist. Der Offizier joggt morgens über das Gelände. Wo er wohnt ist kein Problem, da er bei seinem Lauf von einem Haus in der Nähe dieser Basis startete viele weitere Läufe am frühen Sonntagmorgen dort beendete. Wenn man dann noch sieht, dass seine Lieblingsstrecke durch einen Wald führt, aber manchmal auf einem weiter entfernten Parkplatz beginnt und endet, und das Profil den vollen Namen der Person zeigt, dann werden für Spione Wünsche wahr.
Aktivitäten, die normalerweise im Verborgenen stattfinden, werden mit unglaublichen Details enthüllt. Die Autoren schreiben: Auf einer US-Luftwaffenbasis, auf der bewaffnete Drohnen stationiert sind, kann ein Nachrichtenoffizier anhand der Trainingsdaten gefunden werden. Auch hier sind sein Name und sein Profilbild offen verfügbar. Im Artikel zeichnen die Autoren das Bewegungsprofil einer Personen nach, die sowohl auf Militärbasen in Afghanistan und im mittleren Osten, als auch in den USA unterwegs war. Eine kurze Prüfung der Profildaten legte weitere Informationen über andere Social Media-Profile, samt Namen und Foto offen. Es war nachzuvollziehen, wo er in den USA Ausflüge (mit dem Rad) unternahm, wo er in Thailand im Hotel wohnte und so weiter.
Abschließende Gedanken
Der recht ausführliche Artikel zeichnet ein erschreckendes Bild. Ich hätte eigentlich erwartet, dass der militärische Abschirmdienst seine Leute entsprechend gebrieft hätte. Aber das ist offenbar nicht der Fall, oder wird ignoriert.
Während man Edward Snowden für mehrere hundert Jahre in den Kerker werfen will, und Chelsa Manning einige Jahre in Haft war, liefern die Top-Militärs, Geheimdienstleute und so weiter der Gegenspionage die Daten frei Hand. Dass die US-Administration Kaspersky wegen Spionagevorwürfen aus Behörden verbannt, ist ein Treppenwitz der Geschichte. Facebook & Co. werden es im Verbund mit Fitness-Apps und weiteren Smartphone-Apps sowie IoT- und Smart Home-Lösungen schon richten.
Eigentlich wollte ich am Sonntag auf den heise.de-Artikel Nothing to Hide, oder: Wie mit "Social Scoring" die Privatsphäre abgeschafft wird hinweisen. In dem lesenswerten Artikel geht es darum, dass in Asien Regierungen die Privatsphäre durch Scoring der Bürger quasi abschaffen. China geht dort voran. Aber jetzt muss ich feststellen, dass die Leute, allen voran die Amerikaner, sich da ganz freiwillig und gänzlich unbedarft, transparent machen. Und wenn man dann das Ganze noch mit den gehackten Daten der Hardcore-Site Rosebuttboard (siehe Link-Liste) kombiniert, wird das richtig spannend. 'Digital first, Bedenken second', der Wahlslogan von Christian Lindner (FDP) passt da wie die Faust auf's Auge – der hätte womöglich in Amerika eine riesige Stammwählerschaft.
Ergänzung: Polar hat gemäß diesem Artikel die Funktion wohl zwischenzeitlich deaktiviert.
Ähnliche Artikel:
MyFitnessPal-Nutzerdaten gehackt
Fitness-Tracker: Die Daten und die Krankenkassen
Sicherheitinfos zum Wochenstart (29.1.2018)
Datensätze von 130.000 US-Navy-Angehörigen entfleucht
Brisante Pentagon-Dateien auf Amazon-Server gefunden
Ups: Hardcore-Site Rosebuttboard gehackt
Anzeige
