{"id":235905,"date":"2020-09-24T07:57:29","date_gmt":"2020-09-24T05:57:29","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=235905"},"modified":"2020-09-24T09:34:10","modified_gmt":"2020-09-24T07:34:10","slug":"strava-zeigt-fremden-unter-umstnden-persnliche-daten","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/09\/24\/strava-zeigt-fremden-unter-umstnden-persnliche-daten\/","title":{"rendered":"Strava zeigt Fremden unter Umständen persönliche Daten"},"content":{"rendered":"

[English<\/a>]Falsche Einstellungen k\u00f6nnen dazu f\u00fchren, dass die beliebte Lauf- und Radsport-App Strava Informationen des Benutzers Dritten in der N\u00e4he zug\u00e4nglich macht. Hier sollte man aus Datenschutzgr\u00fcnden schon genauer hinschauen.<\/p>\n

<\/p>\n

Eine merkw\u00fcrdige Erfahrung mit Strava<\/h2>\n

\"\"Andrew Seward, Chef der Produktentwicklung von Experian, hat das Ganze die Tage auf Twitter publik<\/a> gemacht und Bleeping Computer<\/a> hat das dann aufgegriffen.<\/p>\n

Out running this morning on a new route and a lady runs past me. Despite only passing, when I get home @Strava automatically tags her in my run. If I click on her face it shows her full name, picture and a map of her running route (which effectively shows where she lives)<\/p><\/blockquote>\n

\"Strava
\n(Strava Datenleck)<\/p>\n

Bei einem morgendlichen Lauf lie\u00df er seine Daten \u00fcber die Strava-App aufzeichnen. W\u00e4hrend des Laufs bemerkte er eine Frau, die an ihm vorbei lief. Als er zuhause ankam und die Daten der Strava-App auswertete, staunte er nicht schlecht. Die Strava-App hatte offenbar Daten der Joggerin erfasst.Als er das Gesicht der Joggerin in Strava anw\u00e4hlte, wurden ihr vollst\u00e4ndiger Name, ihr Bild und eine Karte ihrer Laufstrecke angezeigt (auf der effektiv ersichtlich ist, wo sie wohnt).<\/p>\n

Andrew Seward wunderte sich, da er der Dame nicht l\u00e4ngere Zeit gefolgt war und die L\u00e4uferin hatte ihre Daten auf Strava auch nicht \u00f6ffentlich gemacht. Das hat ihn bewogen, dass Ganze auf Twitter kund zu tun. Denn eine solche Funktion, von der ein Strava-Nutzer nichts ahnt, l\u00e4dt ja zum Missbrauch (wie z.B. Stalking) ein.<\/p>\n

Verwirrende Datenschutzeinstellung schuld<\/h2>\n

Nach seinem Tweet meldete sich ein andere Nutzer und wies darauf hin, dass eine separate Datenschutzeinstellung mit etwas merkw\u00fcrdigen Einstellungen daf\u00fcr verantwortlich ist.<\/p>\n

UPDATE: @ntzm_ points out this is a separate privacy setting from when you change who can see your activities – all settings default to 'Everyone' but this feature will only be disabled if you turn off 'Flyby'<\/p><\/blockquote>\n

\"Strava<\/a>
\n(Zum Vergr\u00f6\u00dfern klicken<\/a>)<\/p>\n

In den Einstellungen sind die Vorgaben f\u00fcr die Privatsph\u00e4re f\u00fcr alle Optionen auf 'Jeder' eingestellt, d.h. Dritte k\u00f6nnen Aktivit\u00e4ten einsehen. Um zu verhindern, dass die Strava-Daten beim Vorbeilaufen in den Profilen Dritter \u00fcbernommen werden, muss die Option Flyby<\/em>, die die Aktivit\u00e4ten mit jedem in der N\u00e4he teilt deaktiviert werden (siehe auch die Erkl\u00e4rung auf Bleeping Computer<\/a>).<\/p>\n

Sind wohl extrem ungeschickte Einstellungen, die Strava vorgibt, gepaart mit verwirrende Erkl\u00e4rungen der Optionen, die zu dieser Problematik f\u00fchren. Nur bei deaktivierter Flyby-Option kann das Teilen der Aktivit\u00e4ten mit Dritten in der N\u00e4he unterbunden werden. Der Fall zeigt wieder einmal, dass man eigentlich das ganze Zeug, ohne vorherige Sicherheitsanalyse, nicht nutzen sollte.<\/p>\n

Erg\u00e4nzende Anmerkung:<\/strong> Das Ganze scheint \u00fcbrigens nicht so wirklich neu zu sein. Bereits im Juni 2020 hatte How-To Geek den Artikel How to Stop Strava From Making Your Home Address Public<\/a> ver\u00f6ffentlicht, der genau auf diesen Sachverhalt hinweist. Hat aber damals wohl keinen interessiert.<\/p><\/blockquote>\n

Inzwischen hat Strava aus dem Vorfall gelernt und schickt seinen Nutzern einen Link mit dem Hinweis, wie sie die Einstellung \u00e4ndern k\u00f6nnen. Das ist \u00fcbrigens nicht der erste Fall, wo Risiken bei der Benutzung von Strava offensichtlich wurden. Im Artikel Sicherheitinfos zum Wochenstart (29.1.2018)<\/a> hatte ich den Fall geschildert, wo die geteilten Tracks von US-Milit\u00e4rangeh\u00f6rigen auf der Strava-Seite einsehbar waren – auch dort herrschte die Sorglosigkeit der Nutzer, gepaart mit dem Zwang, alles mit der Welt teilen zu m\u00fcssen, vor.<\/p>\n

\u00c4hnliche Artikel:
\n<\/strong>Watch OS 7 & iOS 14: Authenticator-App und GPS macht Probleme<\/a>
\nShanghai, die Geisterschiffe und das GPS-Spoofing<\/a>
\nFitness-Tracking-Seite Polar Flow zeigt kritische Nutzerdaten von Geheimnistr\u00e4gern<\/a>
\nAvast entdeckt Schwachstelle in GPS-Trackern<\/a>
\nFitness-Tracker schw\u00e4cheln beim Kalorienumsatz<\/a>
\nFitness-Tracker: Die Daten und die Krankenkassen<\/a>
\nHunderte US-Apps mit staatlichen Tracking-Funktionen<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Falsche Einstellungen k\u00f6nnen dazu f\u00fchren, dass die beliebte Lauf- und Radsport-App Strava Informationen des Benutzers Dritten in der N\u00e4he zug\u00e4nglich macht. Hier sollte man aus Datenschutzgr\u00fcnden schon genauer hinschauen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1440,426],"tags":[4346,4328],"class_list":["post-235905","post","type-post","status-publish","format-standard","hentry","category-app","category-sicherheit","tag-app","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/235905","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=235905"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/235905\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=235905"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=235905"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=235905"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}