Fitness-App verrät Standorte von Spionen und Soldaten

Laut einer Untersuchung der niederländischen Nachrichtenseite De Correspondent und Bellingcat erlaubt der Hersteller Polar weitreichenden Zugriff auf die Daten seiner Nutzer. Dies stellt unter anderem eine Gefahr für Spione und Militärangehörige dar, wie in mehreren Stichproben gezeigt wird. Auch geheime Standorte von staatlichen Einrichtungen könnten so aufgedeckt werden.

Hauptproblem sei laut dem Bericht die API von Polar. Jene erlaube es nicht nur auf öffentliche Daten der User zuzugreifen, sondern auch auf vermeintlich private Profile. So habe man Zugriff auf Millionen Profile von Menschen, die ihr Training mit der Polar-Flow-App tracken. Da die Programmierschnittstelle auch die Zahl an Abfragen nicht einschränke, könne man detaillierte und langfristige Profile von Nutzern sehr einfach erstellen.

Vorgehensweise

Laut dem Bericht sei es sehr einfach möglich, die Workouts in der Nähe von bekannten militärischen Einrichtungen herauszufiltern. Anschließend könne man nachsehen, wo die entsprechenden Anwender noch trainiert haben. So könne man nicht nur Rückschlüsse darauf ziehen, so wie wohnen, sondern auch auf andere unbekannte militärische Einrichtungen.

Die Journalisten haben so laut eigenen Angaben über 6400 User identifiziert, die in der Nähe von sensiblen Einrichtungen arbeiten. Dazu zählen Gebäude der NSA, das Weiße Haus, das MI6 in London und das berüchtigte US-Militärgefängnis Guantanamo Bay auf Kuba. Es konnten auch die Namen von Geheimdienstagenten herausgefunden werden, darunter Mitarbeiter des britischen Nachrichtendienstes GCHY in Cheltenham, des französischen DGSE in Paris und des russischen GRU in Moskau. Auch die Standorte von Nuklearanlagen, Raketensilos und Gefängnissen wurden so identifiziert.

Polar spielt Problem herunter

Polar selbst hat eine Stellungnahme zu dem Bericht veröffentlicht. Der Hersteller erklärt darin, dass es keinen Leak privater Daten gegeben hätte und dass Nutzer mit den Standard-Profilen und Einstellungen nicht betroffen seien. Dennoch entschied man sich aber dazu, die API vorübergehend zu deaktivieren, wie es heißt.

Strava

Anfang des Jahres sorgte ein sehr ähnlicher Fall bei der Fitness-App Strava für Aufsehen. Auch dort ließen die Daten von Nutzern Rückschlüsse auf geheime Militärbasen zu.

Damals hieß es, die Daten seien für ausländische Geheimdienste ein gefundenes Fressen. Im Unterschied zu dem aktuellen Bericht, dürften damals aber tatsächlich nur bewusst öffentlich geschaltete Daten betroffen gewesen sein.