{"id":206344,"date":"2018-07-09T00:46:45","date_gmt":"2018-07-08T22:46:45","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=206344"},"modified":"2020-12-19T15:22:31","modified_gmt":"2020-12-19T14:22:31","slug":"fitness-tracking-seite-polar-flow-zeigt-kritische-nutzerdaten-von-geheimnistrgern","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2018\/07\/09\/fitness-tracking-seite-polar-flow-zeigt-kritische-nutzerdaten-von-geheimnistrgern\/","title":{"rendered":"Fitness-Tracking-Seite Polar Flow zeigt kritische Nutzerdaten von Geheimnisträgern"},"content":{"rendered":"

Die Fitness-Tracking-Seite 'Polar Flow' erweist sich als Achillesferse f\u00fcr das US-Milit\u00e4r, den Geheimdienst NSA oder das FBI oder weitere Regierungsmitglieder und Geheimnistr\u00e4ger. \u00dcber die Polar Fitness-App laden Angeh\u00f6rige von Geheimdiensten (NSA), FBI, Milit\u00e4rangeh\u00f6rige oder Botschaftsmitarbeitern ihre pers\u00f6nlichen (Fitness-)Daten hoch. Diese k\u00f6nnen \u00f6ffentlich frei gegeben werden. Trainieren die Personen an geheimen Orten wie Milit\u00e4rbasen und Flugpl\u00e4tze, Atomwaffenlager oder Botschaften auf der ganzen Welt, lassen sich hochgeheime Informationen quasi per Mausklick im Internet abgreifen. Erg\u00e4nzung:<\/strong> Polar hat wohl die Funktion zwischenzeitlich deaktiviert.<\/p>\n

<\/p>\n

\"\"Zum Wochenstart noch eine Sicherheitsmeldung, die Couch-Potatos zeigt, dass die Fitness-Freaks gef\u00e4hrlich leben. Denn ein Couch-Potato wird kaum ein Fitness-Armband tragen und seine Daten per App via Bluetooth abrufen und dann in die Cloud \u00fcbertragen.<\/p>\n

Strava-Leak bereits im Januar 2018<\/h2>\n

Ende Januar 2018 schrieb ich bereits im Blog-Beitrag Sicherheitinfos zum Wochenstart (29.1.2018)<\/a> \u00fcber einen Sicherheitsvorfall des Anbieters Strava. Deren App erfasste die Fitness-Daten von Milit\u00e4rangeh\u00f6rigen und erm\u00f6glichte den Vergleich mit anderen Soldaten per Internet.<\/p>\n

\"Heat
\n(Strava Heat Map einer Milit\u00e4rbasis in Afganhistan)<\/p>\n

Das erm\u00f6glichte wunderbare Karten von Milit\u00e4ranlagen anhand der erfassten Laufstrecken zu erstellen (siehe obiges Bild).<\/p>\n

Jetzt ist Polar an der Reihe<\/h2>\n

Die Website bellingcat.com, die sich auf Online-Enth\u00fcllungen (Online Investigations) spezialisiert hat, berichtet hier<\/a> von einem neuen Datenskandal (obwohl ich da keinen Skandal erkenne, da ist Versagen der Abwehr sowie die Bl\u00f6dheit der Benutzer der Quell des \u00dcbels).<\/p>\n

Polar enth\u00fcllt \u00fcber , eine Fitness-App und die Plattform 'Polar Flow' die Wohnorte, Trainingsstrecken und weitere Daten von Menschen, die an geheimen Orten wie Geheimdiensten, Milit\u00e4rbasen und Flugpl\u00e4tzen, Atomwaffenlagern und Botschaften auf der ganzen Welt trainieren. Das ist das Ergebnis einer gemeinsamen Untersuchung von Bellingcat und der niederl\u00e4ndischen Journalistenplattform De Correspondent.<\/p>\n

Die Nutzer ver\u00f6ffentlichen ihre Daten selbst<\/h2>\n

Um dem 'Skandal' etwas die Spitze zu nehmen: Das ganze System ist nur so doof wie die teilnehmenden Benutzer. Der obige Strava-Fall h\u00e4tte nie passieren d\u00fcrfen und sp\u00e4testens dann h\u00e4tten die Betroffenen die Rei\u00dfleine ziehen und die Fitness-App samt Daten beim Anbieter l\u00f6schen m\u00fcssen. Was ist passiert?<\/p>\n

Polar nutzt die Website \"Polar Flow\" als soziale Plattform, auf der Benutzer ihre L\u00e4ufe bzw. Trainingsdaten austauschen k\u00f6nnen. Dazu werden diese Daten \u00f6ffentlich zur Einsicht freigegeben. Das Problem: Im Vergleich zu den \u00e4hnlichen Diensten von Garmin und Strava ver\u00f6ffentlicht Polar mehr Daten pro Benutzer, und das auf eine leichter zug\u00e4ngliche Weise, mit potenziell katastrophalen Ergebnissen.<\/p>\n

\"Laufstrecken
\n(Quelle: Polar Flow\/Bellincat – \u00dcbungen auf einer Milit\u00e4rbasis im Nahen Osten. Rote Quadrate mit wei\u00dfen Punkten sind Cluster aus vielen weiteren Sitzungen, die an dieser Stelle begonnen haben.)<\/p>\n

Durch die Darstellung aller Sitzungen eines Individuums auf einer einzigen Karte zeigt Polar nicht nur die Herzfrequenz, Routen, Daten, Zeit, Dauer und Geschwindigkeit der \u00dcbungen, die von Einzelpersonen (auch in Milit\u00e4ranlagen) durchgef\u00fchrt werden. Sondern es werden nat\u00fcrlich auch die gleichen Informationen aus den H\u00e4usern der Personen \u00fcbertragen.<\/p>\n

Mit ein paar Mausklicks zum Bewegungsprofil und mehr<\/h2>\n

Um sich ein Bild zu machen, geht man folgenderma\u00dfen vor: Man sucht eine Milit\u00e4rbasis in Polar Flow aus und geht zu einer dort ver\u00f6ffentlichten \u00dcbung. Dann identifiziert man das an die \u00f6ffentliche \u00dcbung angeh\u00e4ngte Profil. Schon kann man sehen, wo diese Person sonst noch trainiert hat. Da Menschen dazu neigen, ihre Fitness-Tracker ein- und auszuschalten, wenn sie ihre H\u00e4user verlassen oder betreten, markieren sie unwissentlich ihre H\u00e4user auf der Karte. Hinzu kommt, dass Nutzer oft ihren vollen Namen in ihren Profilen, begleitet von einem Profilbild, verwenden. Auch wenn die Personen ihr Facebook-Profil nicht mit ihrem Polar-Konto verbunden haben, werden sie quasi gl\u00e4sern.<\/p>\n

\"Geheime
\n(Quelle: Polar Flow\/Bellincat \u2013 geheime Milit\u00e4ranlagen)<\/p>\n

Interessant wird das alles, wenn man sieht, dass die von Google in Maps benutzten Satellitenbilder geheime Milit\u00e4ranlagen pixeln. Diese gepixelten Fotos werden auch in den Polar Flow Karten verwendet. Dort wird aber pl\u00f6tzlich sichtbar, dass in den gepixelten Bereichen \u00dcbungen stattfinden.<\/p>\n

Auch Strava und Garmin bieten \u00e4hnliche Funktionen. Dort ist es aber wesentlich aufw\u00e4ndiger bis unm\u00f6glich, an bestimmte Daten zu gelangen. Polar Flow stellt nicht nur einen einfachen Zugriff auf die Daten bereit, sondern zeigt auch Werte bis zum Jahr 2014 weltweit auf einer Karte an.<\/p>\n

Selbstbedienungsladen f\u00fcr Gegenabwehr?<\/h2>\n

Das ist quasi ein Schlaraffenland f\u00fcr Gegenspionage und Gegenabwehr. Man braucht keine Spione mehr vor Ort, ein Internetzugang reicht f\u00fcr die Fernaufkl\u00e4rung. Das Bellingcat-Team schreibt: Mit nur wenigen Mausklicks konnte ein hochrangiger Offizier eines Flugplatzes identifiziert werden, der f\u00fcr seine Atomwaffen bekannt ist. Der Offizier joggt morgens \u00fcber das Gel\u00e4nde. Wo er wohnt ist kein Problem, da er bei seinem Lauf von einem Haus in der N\u00e4he dieser Basis startete viele weitere L\u00e4ufe am fr\u00fchen Sonntagmorgen dort beendete. Wenn man dann noch sieht, dass seine Lieblingsstrecke durch einen Wald f\u00fchrt, aber manchmal auf einem weiter entfernten Parkplatz beginnt und endet, und das Profil den vollen Namen der Person zeigt, dann werden f\u00fcr Spione W\u00fcnsche wahr.<\/p>\n

Aktivit\u00e4ten, die normalerweise im Verborgenen stattfinden, werden mit unglaublichen Details enth\u00fcllt. Die Autoren schreiben: Auf einer US-Luftwaffenbasis, auf der bewaffnete Drohnen stationiert sind, kann ein Nachrichtenoffizier anhand der Trainingsdaten gefunden werden. Auch hier sind sein Name und sein Profilbild offen verf\u00fcgbar. Im Artikel<\/a> zeichnen die Autoren das Bewegungsprofil einer Personen nach, die sowohl auf Milit\u00e4rbasen in Afghanistan und im mittleren Osten, als auch in den USA unterwegs war.\u00a0 Eine kurze Pr\u00fcfung der Profildaten legte weitere Informationen \u00fcber andere Social Media-Profile, samt Namen und Foto offen. Es war nachzuvollziehen, wo er in den USA Ausfl\u00fcge (mit dem Rad) unternahm, wo er in Thailand im Hotel wohnte und so weiter.<\/p>\n

Abschlie\u00dfende Gedanken<\/h2>\n

Der recht ausf\u00fchrliche Artikel<\/a> zeichnet ein erschreckendes Bild. Ich h\u00e4tte eigentlich erwartet, dass der milit\u00e4rische Abschirmdienst seine Leute entsprechend gebrieft h\u00e4tte. Aber das ist offenbar nicht der Fall, oder wird ignoriert.<\/p>\n

W\u00e4hrend man Edward Snowden<\/a> f\u00fcr mehrere hundert Jahre in den Kerker werfen will, und Chelsa Manning<\/a> einige Jahre in Haft war, liefern die Top-Milit\u00e4rs, Geheimdienstleute und so weiter der Gegenspionage die Daten frei Hand. Dass die US-Administration Kaspersky wegen Spionagevorw\u00fcrfen aus Beh\u00f6rden verbannt, ist ein Treppenwitz der Geschichte. Facebook & Co. werden es im Verbund mit Fitness-Apps und weiteren Smartphone-Apps sowie IoT- und Smart Home-L\u00f6sungen schon richten.<\/p>\n

Eigentlich wollte ich am Sonntag auf den heise.de-Artikel Nothing to Hide, oder: Wie mit \"Social Scoring\" die Privatsph\u00e4re abgeschafft wird<\/a> hinweisen. In dem lesenswerten Artikel geht es darum, dass in Asien Regierungen die Privatsph\u00e4re durch Scoring der B\u00fcrger quasi abschaffen. China geht dort voran. Aber jetzt muss ich feststellen, dass die Leute, allen voran die Amerikaner, sich da ganz freiwillig und g\u00e4nzlich unbedarft, transparent machen. Und wenn man dann das Ganze noch mit den gehackten Daten der Hardcore-Site Rosebuttboard (siehe Link-Liste) kombiniert, wird das richtig spannend. 'Digital first, Bedenken second', der Wahlslogan von Christian Lindner (FDP) passt da wie die Faust auf's Auge \u2013 der h\u00e4tte wom\u00f6glich in Amerika eine riesige Stammw\u00e4hlerschaft.<\/p>\n

Erg\u00e4nzung:<\/strong> Polar hat gem\u00e4\u00df diesem Artikel<\/a> die Funktion wohl zwischenzeitlich deaktiviert.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nMyFitnessPal-Nutzerdaten gehackt<\/a>
\nFitness-Tracker: Die Daten und die Krankenkassen<\/a>
\nSicherheitinfos zum Wochenstart (29.1.2018)<\/a>
\nDatens\u00e4tze von 130.000 US-Navy-Angeh\u00f6rigen entfleucht<\/a>
\nBrisante Pentagon-Dateien auf Amazon-Server gefunden<\/a>
\nUps: Hardcore-Site Rosebuttboard gehackt<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Die Fitness-Tracking-Seite 'Polar Flow' erweist sich als Achillesferse f\u00fcr das US-Milit\u00e4r, den Geheimdienst NSA oder das FBI oder weitere Regierungsmitglieder und Geheimnistr\u00e4ger. \u00dcber die Polar Fitness-App laden Angeh\u00f6rige von Geheimdiensten (NSA), FBI, Milit\u00e4rangeh\u00f6rige oder Botschaftsmitarbeitern ihre pers\u00f6nlichen (Fitness-)Daten hoch. Diese … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-206344","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/206344","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=206344"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/206344\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=206344"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=206344"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=206344"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}