Polar 健身应用程序暴露了军事和空军基地用户的位置数据

Polar Flow 是由芬兰体育用品制造商 Polar 开发的应用程序，被发现暴露了全球数百万用户的个人和敏感详细信息，包括为执法机构、情报机构和军事基地等工作的人员的位置数据。因此，该公司已暂停其探索功能，以避免出现更多问题。

这是在荷兰新闻网站 De Correspondent 和英国公民新闻网站Bellingcat进行联合调查后披露的 。据研究人员称，这是可能的，因为 Polar Flow 应用程序中存在一个严重的安全漏洞，该漏洞使他们能够扫描 6,500 名用户的帐户，其中包括“军事人员、情报人员和在核武器储存场所工作的人员”。

进一步挖掘数据显示，Polar 在一张地图上显示其用户的锻炼活动，由于该缺陷，自 2014 年以来来自 70 多个国家/地区的数百万用户的活动处于危险之中。只有在美国，研究人员才能提取为国家安全局、联邦调查局、驻伊拉克美军和驻扎在关塔那摩湾的军事人员工作的个人的位置数据，甚至是参与打击所谓伊斯兰国 (ISIS/伊黎伊斯兰国）。

荷兰的用户位置数据（左）——马里（西非）军事基地用户的位置数据图片来源：（BellingCat）

以下是研究人员在利用应用程序中的安全漏洞后发现的完整预览：

1：军事人员在已知或强烈怀疑拥有核武器的基地进行演习。

2：在情报机构、大使馆、家中和其他地点锻炼的个人。

3：在 FBI 和 NSA 工作的人员。

4：专门从事网络安全、IT、导弹防御、情报和其他敏感领域的军事人员。

5：在潜艇上服役的人员，在潜艇基地锻炼。

6：在核电厂工作的管理和安保人员。

7：一家制造公司的首席执行官，在世界各地锻炼。8：巴格达绿区的美国人。

9：克里米亚的俄罗斯士兵。

10：关塔那摩湾的军事人员。

11：驻扎在朝鲜边境附近的军队。

12：参与打击伊斯兰国的飞行员。

另一方面，Polar 已通过声明澄清没有安全漏洞或数据泄漏来解决这个问题。该公司还就暂停探索功能向用户道歉。Explore 被世界各地的运动员用来分享和庆祝他们的训练课程

“目前，绝大多数 Polar 客户保持默认的私人资料和私人会话数据设置，不受这种情况的任何影响。虽然选择加入和共享培训课程和 GPS 位置数据的决定是客户的选择和责任，但我们知道潜在的敏感位置出现在公共数据中，并已决定暂时暂停 Explore API，”该语句读取。

“我们正在分析允许 Polar 客户继续使用探索功能的最佳选择，同时采取额外措施提醒客户避免公开共享敏感位置的 GPS 文件。”

健身追踪应用程序泄露如此高度个人化和敏感的数据，这已经不是第一次了。今年 1 月，GPS 追踪和健身追踪器应用Strava的全球热图 也暴露了其用户的位置数据，其中还包括军事基地以及军事人员的日常生活。