Fitness-Tracker und ihre Apps sind bei vielen Menschen beliebt. Sie zeichnen den Puls auf, den Kalorienverbrauch und die Joggingroute. Doch die Daten können auch missbraucht werden – und sogar die nationale Sicherheit gefährden, wie ein Fall aus Israel nun zeigt. Dort wurde eine Sicherheitslücke in der Fitness- und Lauf-App Strava dafür genutzt, um Israels Militär auszuspionieren. Das berichten die israelischen Zeitungen "Haaretz" und "Jerusalem Post" unter Berufung auf einen Bericht des Kontrollgremiums FakeReporter.
Nach Angaben von FakeReporter vom Dienstag wurde diese Art der Daten-Spionage genutzt, um "mindestens 100 Personen zu identifizieren, die Strava nutzten, während sie in mindestens sechs streng geheimen Einrichtungen in Israel trainierten".
"Eine Sicherheitslücke in Strava, der weltweit beliebtesten Fitnessplattform, ermöglicht es verdächtigen Akteuren, gefälschte GPS-Dateien hochzuladen und die Daten von Benutzern zu sammeln", so FakeReporter im Kurznachrichtendienst Twitter.
Datenklau über Fitness-App bei Israels Militär
Das Kontrollgremium habe dabei aufgezeigt, "wie verwirrende Datenschutzeinstellungen und die unsichere Nutzung von Strava durch Sicherheitspersonal eine Lücke geschaffen haben, die von verdächtigen Akteuren ausgenutzt wird". Dabei seien die persönlichen Daten von Benutzern, die in geheimen Einrichtungen im Zusammenhang mit dem israelischen Militär- und Sicherheitsapparat dienten, offengelegt worden, einschließlich der Identität von Familienmitgliedern, Kolleg:innen, ihrer Privatadressen und ihrer Auslandsreisen.
"Diese Untersuchung zeigt, wie böswillige Akteure die Lücke nutzen könnten, um persönliche Informationen von Benutzern auf der ganzen Welt zu verfolgen und zu sammeln, verdecktes Personal zu entlarven und die nationale Sicherheit von Ländern weltweit zu gefährden", folgert FakeReporter, das Crowdsourcing verwendet, um Angriffe und betrügerische Aktivitäten zu identifizieren, aufzudecken und zu deaktivieren.
Spionage, Sex und Schlaghose - eine Spionagegeschichte in den 70er Jahren
Mossad-Hauptquartier durch GPS-Daten hervorgehoben
FakeReporter begann mit der Untersuchung, nachdem sie einen Hinweis auf verdächtige Aktivitäten in der Strava-App erhalten hatten. Der Tipp legte schließlich ein anonymes Profil offen, das künstliche GPS-Daten innerhalb von Stützpunkten des israelischen Militärs und sensiblen Sicherheitseinrichtungen hochgeladen hatte.
Die künstlichen GPS-Segmente befanden sich nach Angaben der "Jerusalem Post" unter anderem in der Nähe vom Hauptquartier des Auslandsgeheimdienstes Mossad und einer Basis in der Nähe des Atomreaktors in Dimona.
Wenn Fake-User den Standort einer israelischen Basis kennen, könnten sie theoretisch Daten hochladen, die zeigen, dass sie auch in diesem Bereich trainiert haben, und so alle anderen Benutzer finden, die dort trainiert haben. Die Sicherheitslücke würde den gefälschten Konten auch Zugriff auf die vergangenen Laufrouten dieser Benutzer geben, wodurch möglicherweise zusätzliche Stützpunkte aufgedeckt würden, schreibt "Haaretz".
Laut "Jerusalem Post" war das besagte anonyme Profil 2019 aktiv und die Protokolle der Israel Defence Forces (IDF) wurden angesichts des Verstoßes aktualisiert.
Schon 2018 schwacher Datenschutz bei Strava
"Wir haben die israelischen Sicherheitskräfte kontaktiert, sobald wir von dieser Sicherheitsverletzung erfahren haben", sagte Achiya Schatz, Executive Director von FakeReporter, der "Jerusalem Post". "Nachdem FakeReporter die Genehmigung der Sicherheitskräfte erhalten hatte, fortzufahren, kontaktierten wir Strava, und sie bildeten ein hochrangiges Team, um das Problem anzugehen."
Die IDF teilte der Zeitung mit: "Die IDF im Allgemeinen mit ihren verschiedenen Gremien ist sich der Bedrohungen bewusst, die sich in der Welt des Internets entwickeln. Um mit ihnen fertig zu werden, und nach früheren Vorfällen wie dem fraglichen Vorfall, werden Verfahren regelmäßig auf Bedienstete in sensiblen Positionen übertragen."
Die Erfassung von Geolokalisierungsdaten durch Strava hat schon in der Vergangenheit Datenschutz- und sogar Sicherheitsbedenken aufgeworfen. 2018 berichtete das israelische Nachrichtenportal ynet, dass die Strava-App sogenannte "heat maps" der Nutzer:innen teilt, die Bewegungen von Soldatinnen und Soldaten der IDF offenlegte. Das israelische Militär sei allerdings nicht alleine betroffen gewesen, so ynet. So seien auch US-Militärbasen im Irak und Afghanistan dadurch sichtbarer geworden.
Strava wurde 2009 gegründet und hat nach eigenen Angaben 97 Millionen registrierte Nutzerinnen und Nutzer in 195 Ländern. Jede Woche gebe es 40 Millionen Uploads.
