De privacyzone die de populaire sportapp Strava gebruikt voor het beschermen van gebruikers geeft een vals gevoel van veiligheid, zo stellen onderzoekers van de KU Leuven. In het verleden is al vaker gebleken dat Strava kampt met privacyproblemen. In 2018 bijvoorbeeld werden geheime militaire basissen in conflictgebieden Syrië en Irak ontdekt door de app. Om gebruikers te beschermen verbergt Strava tegenwoordig automatisch de eerste en laatste tweehonderd meter van een route.

"Maar die aanpak creëert een vals gevoel van veiligheid", aldus de onderzoekers. Ze ontwikkelden een zogenaamde inference attack en pasten die toe op geanonimiseerde activiteiten die werden gedeeld op de sportapp. "Zo konden we bij de 1,4 miljoen Strava-activiteiten die we analyseerden tot 85 procent van de verborgen locaties toch blootleggen, puur op basis van de extra gegevens die publiek werden prijsgegeven”, zegt onderzoeker Victor Le Pochat van de imec-DistriNet onderzoeksgroep van de KU Leuven.

De onderzoekers hebben hun bevindingen met Strava gedeeld en zitten binnenkort met de app aan tafel om hun voorstellen voor verbeteringen te bespreken. Volgens de onderzoekers zou de app de info over de afstand die een gebruiker aflegt binnen de verborgen zone beter kunnen verbergen voor buitenstaanders, of zelfs helemaal weglaten. Al heeft die laatste ingreep een gevolgen voor de gebruikers aangezien de activiteit dan niet meer volledig wordt opgenomen. Ze zouden ook de vorm en grootte van de zones die verborgen worden (nu meestal cirkels) meer kunnen variëren.

"Ook als gebruiker kan je je privacy op sportapps beter beschermen. Een privacy zone instellen is sowieso nog altijd een goed idee, maar maak de zone rond plekken die je verborgen wil houden groot genoeg. Vaak is het minimum 200 meter, maar kan je de zone vergroten tot meer dan een kilometer. Hoe groter hoe beter”, benadrukt onderzoeker Karel Dhondt.