Experian资料产品开发负责人Andrew Seward近日发现,他所使用的Strava跑步程序含有一个隐私漏洞,可窥探在跑步时经过他身边的其他跑者的个人信息,包括对方的姓名、照片,以及跑步的路线,而且全是因为Strava的默认惹的祸。
Strava是个具备社交功能运动程序,吸引了不少爱好跑步与自行车的人士,它依赖设备上的GPS来关注与记录用户的路线,它在Google Play上的下载次数超过1,000万次,也被SimilarWeb列为全球前十大最受欢迎的运动程序之一。
不过,Seward表示,他在9月14日找了一条新路线跑步,当时有一个陌生女性跑过他的身边,虽然只是短暂的交会,但他回家之后Strava自动在他的跑步路线上标记了这个女性的大头照,点击后就出现她的全名、照片,以及跑步路线,让他可清楚识别她家位置。
之后即有其他用户向Seward解释,这是因为Strava不管是在个人文件、运动记录,或是专门关注运动路径的Flyby默认值都是公开的,允许所有经过身边的用户能够查看相关个人信息,其中最严重的是用来重播运动路径的Flyby,因为它不只根据时间与地点记录了用户的活动,也可看到活动地图上附近的其他用户。
Strava用户可以在登录自己的账号之后,将Flyby的默认值从Everyone变更为No One,就可避免运动时在路上遇见的每个Strava用户都能得知自己的路线与目的地。