Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Defensie blokkeert fitness-apps op smartphones na datalek Polar Flow

Minister Bijleveld van Defensie meldt dat het gebruik van bepaalde sport- en fitness-apps onmogelijk is gemaakt op smartphones van het departement, nadat uit onderzoek bleek dat de fitness-app Polar Flow gebruiksgegevens liet uitlekken.

Naast het blokkeren van de apps is het dringende advies uitgegaan binnen Defensie om locatiebepaling standaard uit te zetten op Defensie-telefoons en deze functie alleen in te schakelen als het strikt noodzakelijk is. Dat schrijft Minister Bijleveld van Defensie aan de Tweede Kamer. Recent zou Defensie al een bewustzijnscampagne zijn gestart om te wijzen op de risico's van sociale media.

De brief van de minister komt na onderzoek van De Correspondent en Bellingcat naar de veiligheidsrisico's van fitness-apps. Daaruit bleek dat de Finse app Polar Flow een interactieve kaart publiceerde, waarop routes van gebruikers te zien waren. Die gebruikers konden hun echte naam invullen. Het gaat om locatiegegevens die wearables en smartwatches verzamelen tijdens het sporten en die synchroniseren met de smartphone-app.

Zo zoomde De Correspondent in op routes rond vliegbasis Volkel, de internationale luchthaven van Erbil in Noord-Irak en een basis in Mali, en wist daarbij de namen van Nederlandse militairen te vinden. Via internet waren vervolgens meer gegevens, zoals de adressen, van de Polar Flow-gebruikers te vinden.

Door routes rond het hoofdkantoor van de Militaire Inlichtingen- en Veiligheidsdienst te analyseren, waren ook medewerkers van deze dienst te achterhalen. Bovendien bleek op de Polar Flow-kaart te zien hoe wegen lopen op het afluisterstation van de MIVD in Eibergen. Op plattegronden als Google Maps is die locatie afgeschermd. Ook van buitenlandse diensten bleken via routes gevoelige gegevens te achterhalen.

Het onderzoek volgde op vergelijkbare analyses die mogelijk waren op basis van de Strava-app. Begin dit jaar bleek dat de heatmap van die fitness-app routes op militaire bases bevatte en daardoor de infrastructuur van die locaties bloot kon leggen.

Door Olaf van Miltenburg

Nieuwscoördinator

09-07-2018 • 07:37

104 Linkedin Google+

Submitter: PKing83

Reacties (104)

Wijzig sortering
Ik vraag me af hoe lang het duurt voordat ze door hebben dat "locatie delen uitschakelen" voor Google niet echt betekend dat "je locatie delen is uitgeschakeld", je GPS is dan misschien uitgeschakeld, google heeft toch een grove indicatie van je locatie door middel van je netwerk.
Jup, kom ik terug bij mijn vraag van waarom niet op maat gemaakt hardware / software gebruiken?

Tegenwoordig een partij mobieltjes zonder camera en/of GPS kopen is gewoon mogelik zonder dat de kosten hoog lopen, en voor software een AOSP compilatie zonder Google services.
Je vergeet privé devices. Het zijn niet per se defensie devices.
Tegenwoordig een partij mobieltjes zonder camera en/of GPS kopen is gewoon mogelik zonder dat de kosten hoog lopen, en voor software een AOSP compilatie zonder Google services.
mmmm dan moet je wel veel vertrouwen hebben in de fabrikant want een telefoon die je koopt om veilig genoeg te zijn voor defensie is natuurlijk een uitgelezen kans voor verkeerde partijen. En aangezien alle componenten in China gemaakt worden lijkt me dat lang niet zo eenvoudig als jij doet voorstellen.
Ieder telefoon heeft componenten die in China gemaakt wordt.

Als je een iphone vertrouwd, waarom ga je geen OEM telefoon die door Foxconn geproduceerd is?
Omdat het dan heel makkelijk wordt om een hardware backdoor in te bouwen.
Je moet dan ook niet op de trom slaan dat je van defensie o.i.d. bent. Je gaat als Nederlands bedrijf/start-up (de dekmantel) een telefoon afnemen zonder camera, bluetooth, GPS en andere ongein die je kan "verraden". Voor een start-up/kickstarter is 1000 a 10.000 telefoons geen reden om alarm bellen af te laten gaan bij de Chinezen.

Vervolgens pleur je een gemodificeerd OS erop en klaar is Kees.
Er wordt gebruik gemaakt van meerdere apps en een hoop wachtwoorden en verrificatie die ongewenste toegang en goedgekeurde apps in de gate houden op dienst telefoons.
Zodra je een app installeert die niet is toegestaan wordt je telefoon leeg gehaald en gereset.

Elke medewerker heeft een bericht gekregen dergelijke fitness apps voor morgen 16:00 te verwijderen, anders is dus je telefoon weer factory reset en kun je alles weer opnieuw gaan registreren, instellen etc.

Officieel zijn deze telefoons helemaal niet bedoeld om mee te youtuben, netflixen, pokemons vangen en of enig ander privé gebruik maja... daar denken medewerkers anders over.

[Reactie gewijzigd door Cowamundo op 9 juli 2018 11:23]

Officieel zijn deze telefoons helemaal niet bedoeld om mee te youtuben, netflixen, pokemons vangen en of enig ander privé gebruik maja... daar denken medewerkers anders over.
Dat lijkt me dan het probleem waar ze op moeten focussen. Als je een telefoon krijgt die niet bedoelt is voor privé zaken, spelletje etc. dan lijkt me dat dit duidelijk gemaakt moet worden en dat er wat gedaan moet worden als het wel daarvoor gebruikt wordt. Vooral bij defensie lijkt het mij belangrijk dat dit goed gehandhaafd wordt.

En als er dan medewerkers zijn die dat soort regels al aan de laars lappen, vraag ik mij af of deze wel bij defensie thuis horen...
Bij defensie werken mensen en mensen zijn nu eenmaal niet perfect. Kun je mensen die bepaalde regels aan de laars lappen wel wegsturen (leuk als ze op missie zijn in buitenland) maar welke garanties heb je bij nieuwe mensen die je dan weer moet aannemen en opleiden? En dan nog de vraag of er wel voldoende mensen beschikbaar zijn in dit land als je een degelijk beleid zou gaan voeren.
Technisch onmogelijk maken bij toestellen waar men het beheer over heeft en goede voorlichting lijkt mij een betere oplossing.
Gewoon een project wat er weer veel te snel doorheen gedrukt is zonder goed de negatieve gevolgen in kaart te brengen en daar kunnen ze nu letterijk voor betalen.

Honderden mensen hebben een diensttelefoon gekregen terwijl ze deze nieteens echt nodig hebben voor hun werkzaamheden of een functie bekleden waarbij het overal kunnen lezen van mail noodzakelijk is en dat soort zaken.

Dus tja, wat verwacht je dan als organisatie als je iemand (jongeren) een gloednieuwe iphone geeft zonder dat die persoon deze echt nodig heeft voor werkdoeleinden. :+

Maja... zo kan er bij defensie op wel meer dingen NUTTIG bezuinigd worden en dat geld uitgeven aan belangrijke zaken.
Er wordt geen beleid voorgedragen voor persoonlijk gebruik?
Wel voorgedragen, niet gehandhaaft.
Ehmm wat dacht je van bereikbaar zijn en zelf kunnen bellen?
Als je je privé telefoon voor dit soort zaken gebruik heb je uiteraard dezelfde problemen.
Dit is dus echt een mind set dingetje.
Als iemand koste wat het kost iets doms wil doen houd je hem/haar toch niet tegen
Dit is wel interessant, bron?
Ik ken wat jongens binnen defensie met een dienst telefoon en die slepen het overal mee naartoe, zelfs op vakantie.
Internetten er maximaal mee en kijken bijna hele dag door youtube, netflix etc.
En als ik hun mag geloven doet zo’n beetje iedereen dat.
Bij Android is het zo dat het uitschakelen van je locatie (bijvoorbeeld via de quicktoggles) ervoor zorgt dat geen enkele app meer je locatie kan peilen. Apps kunnen dan zelfs niet meer scannen maar Bluetooth- en Wifi-netwerken. Ook die van Google niet.

https://support.google.com/accounts/answer/3467281?hl=nl
Ik heb je gelinkt artikel gelezen maar er staat niet wat jij beweert. Er staat dat geen app je locatiegegevens kan opvragen. Dit betekent niet dat apps bijvoorbeeld niet het Mac adres van een verbonden router kan opvragen (wifi of 4g mast). Mocht je, net als Google, een lijst hebben van Mac adressen en hun fysieke locatie dan kan je indirect dus wel achter halen waar een telefoon geweest is.
volgens mij hebben ze daar ook rekening mee gehouden. Opvragen van mac-adres is dan niet mogelijk, of geeft een fake resultaat.
Dat kan tegenwoordig niet meer, voor het opvragen van MAC adressen is binnen Android de locatie permissie vereist. Als je een WiFi / netwerkscanner opent, moet je dus ook locatiepermissie geven. Op het eerste oog wat vreemd, maar eigenlijk geheel terecht.
Daar zit het probleem niet.
Het gaat niet om het data verzamelen.
Maar om de openbare output.

Apps zoals strava/ evy/ bitfit/ polar maken een routekaart van de gefietste of gelopen route.

Dus wanneer soldaten een rondje hardlopen met bijv een hartslagmeter (polar) of alleen stats voor je gelopen tijden. Dan tekend strava op een openbare kaart op de strava site een rode lijn midden in de woestijn. Dus een rondje hardlopen rond de basis is eigenlijk rode circle tekenen om je eigen locatie. Als of je op kaart aan de vijand aangeeft kijk hier zitten wij.

Plus wanneer een je acount hebt kan zien met foto wie daar heeft gelopen.
Je kan dan de persoon ook volgen Beetje zoals instagram alleen dan met fiets/ hardloop/ sport activteiten. Ook kan je dan tegen elkaar hardlopen. Warneer iemand die je volgt deze zelfde rout heeft gelopen krijg je een melding en kan je tijden vergelijken.

Zoom maar een keer op Mali, Irak of Afgaaninstan.

De Link is naar Mali/afrika ergens midden in de woestijn. De Kans is klein dat iemand van uit de locale bevolking is die 1 rondje heeft hardgelopen. Bij Ieder rondje word ook echt nieuw streep/ segementeren getekend dus 2 rondjes is 2 circels.

ga je naar Nederland dat is een gele vlek tot dat je meer inzoomt en de segmenten duidelijker worden.

https://www.strava.com/he...6243/22.76834/bluered/all

[Reactie gewijzigd door xbeam op 9 juli 2018 09:54]

Daar zit het probleem niet.
Het gaat niet om het data verzamelen.
Maar om de openbare output.

Apps zoals strava/ evy/ bitfit/ polar maken een routekaart van de gefietste of gelopen route.

Dus wanneer soldaten een rondje hardlopen met bijv een hartslagmeter (polar) of alleen stats voor je gelopen tijden. Dan tekend strava op een openbare kaart op de strava site een rode lijn midden in de woestijn. Dus een rondje hardlopen rond de basis is eigenlijk rode circle tekenen om je eigen locatie. Als of je op kaart aan de vijand aangeeft kijk hier zitten wij.

Plus wanneer een je acount hebt kan zien met foto wie daar heeft gelopen.
Je kan dan de persoon ook volgen Beetje zoals instagram alleen dan met fiets/ hardloop/ sport activteiten. Ook kan je dan tegen elkaar hardlopen. Warneer iemand die je volgt deze zelfde rout heeft gelopen krijg je een melding en kan je tijden vergelijken.

Zoom maar een keer op Mali, Irak of Afgaaninstan.

De Link is naar Mali/afrika ergens midden in de woestijn. De Kans is klein dat iemand van uit de locale bevolking is die 1 rondje heeft hardgelopen. Bij Ieder rondje word ook echt nieuw streep/ segementeren getekend dus 2 rondjes is 2 circels.

ga je naar Nederland dat is een gele vlek tot dat je meer inzoomt en de segmenten duidelijker worden.

https://www.strava.com/he...6243/22.76834/bluered/all
Je snapt toch ook wel dat er weinig lokale bevolking een groot gebied in gebruik heeft, met grote lichtbruine containers, en grijze vlakken waar helicopters van opstijgen ?
Of gebruik maakt van die lichtbruine voertuigen met best wel 'incognito' "NL" er op gekalkt ?
Ik bedoel maar, die bases zijn niet 'geheim' - per definitie ...
Met een beetje "ouderwets" voetwerk is zo'n kampement in een paar dagen uitgetekend, daar hebben ze echt Strava niet nodig.
Dat het helpt, klopt, maar de NL-militairen maken er niet echt een geheim van dat ze daar zitten
Je snap toch oom wel dat die containers niet op Google map zichtbaar zijn.

Wanneer een mens door de woestijn loopt of rijd met een auto kan hij met mooi weer max 10km verkijken/zien . Als er geen bomen, huizen of bergen zijn die het zicht ontnemen.

Ook rijd je als Taliban strijder niet zomaar ongezien voor hun vijandig gebeid in om een basis te zoeken. Want dat is zoeken naar spelt in hooi berg want je weet niet welke kant je op moet rijden.Met risco dat jij eerder gezien wordt. Door bijv een drone. Vragen aan de bevolking is ook geen optie die staan vaak de kant van leger of door angst of omdat ze blij zijn dat beschermt worden tegen de Taliban/ISIS/Boko Haram. Vaak komen ze een post of vooruit geschoven basis alleen met toeval tegen.

Maar als je weet waar je heen moet door de rode lijntjes op strava wordt het een heel stukje makelijker om een bom in een auto plaatsen en er op de gps in een rechte lijn naar toe te rijden.

Dat verschil snap je zelf toch ook wel.

En het gaat vaak niet eens om de grote basis met heli’s en conatianers die ligt in veilig gebeid en vaak op bevriende grond. Het gaat om de vooruitgeschoven posten of troepen die voorop bivakkeren. Die tijds hun mars/ wandel/ rit aan hebben staan.

[Reactie gewijzigd door xbeam op 9 juli 2018 13:36]

Kan je uitleggen waarom je denkt dat Google die informatie nog verkrijgt?
Volgens CNet heeft Google het verzamelen al gestopt.
Warom hebben defensie medewerkers een fitness tracker app op hun werk telefoon geïnstalleerd? Daar begin ik ermee.

Wat is de volgende die ze gaan vinden? Dat Google Maps time-line actief is of dat Facebook ingesteld staat op auto updaloaden van fotos?

Hier is waar een eigen fork van Android zonder Google services handig zou zijn, versbast me wel dat dit weinig gedaan wordt, en dar overheid instanties gewon consumenten telefoon gebruiken.
Volgens de Nos geldt dit ook voor de eigen apparaten, niet alleen hun werk telefoon.

"We verbieden de apps voor de apparaten van Defensie die militairen gebruiken, maar ook voor privéapparaten die ze meenemen naar hun werk."
https://nos.nl/nieuwsuur/...ns-zo-te-achterhalen.html
Ik ging er vanuit dat die mensen geen iegen mobiel bij mochten hebben... Z'n 10 jaar geleden liep ik stage bij Siemens / Teleplan en we gingen PCs in de ministerie van defensie vervangen, niet eens mijn mp3 speler mocht ik meenemen.
In bepaalde Areas mag je inderdaad helemaal niks mee naar binnen nemen, en daar word ook streng op gecontroleerd. Echter op de gewone werkplek (dus niet zo'n Area) ligt niks wat interessant is of gevoelig is. Dus hier kan en mag gewoon de telefoon mee... er is zelfs gewoon WiFi omdat het ontvangst van 4G vaak slecht is op de kazernes ;).

Verder is het slecht dat mensen het op de werktelefoon gebruiken (een fitness app) maar inderdaad ben je net zo ver van huis als je het op de eigen telefoon doet, aan de ene kant moedigt Defensie zijn personeel aan tot posten op Social Media voor de positieve reclame... aan de andere kant willen ze eigenlijk dat je niet op Social Media zit... er is gewoon geen duidelijk en goed belijd voor... ze willen alle positieve dingen zonder kans op negatieve feedback :P
Dat is erg dubbel inderdaad, overheid instanties die leuk en modern willen zijn en ambtenaren motiveren om actief te zijn op Twitter, en Fitbit scores op Facebook posten...

Maar dan wanneer iets fout gaat wordt dan verwezen naar de gebruikers zelf met een "foei niet meer doen hé!" en tegen de pres wordt dan gezegd "ja we gaan het blokkeren om te zorgen dat niet meer voorkomt"... Tot dat de volgende hype app die iedereen gebruikt ook voor data lek zorgt.
Je mocht het niet mee naar binnen nemen, maar deze jongens lopen buiten hun rondjes, begin/eindpunt bij al dan niet geheime lokaties
Hier is waar een eigen fork van Android zonder Google services handig zou zijn, versbast me wel dat dit weinig gedaan wordt, en dar overheid instanties gewon consumenten telefoon gebruiken.
Omdat de commerciële sector dan per direct gaat huilen omdat ze dienst/toestel X willen/kunnen leveren voor een fractie van het bedrag maar die grote boze overheid moet weer eens zondig belastinggeld verbranden.

Althans, dat is de houding die ik veel lees.

De reden dat ze een fitness app hebben geïnstalleerd is omdat ieder bedrijf/gemeente/ministerie een afspiegeling is van de maatschappij.
Omdat de commerciële sector dan per direct gaat huilen omdat ze dienst/toestel X willen/kunnen leveren voor een fractie van het bedrag maar die grote boze overheid moet weer eens zondig belastinggeld verbranden.
Dan heeft de commerciele sector pech.

Dit zou prachtig in Europees samenwerkingsverband kunnen. Waarom gebruiken we die EU niet voor dit soort zaken, de afhankelijkheid van anderen wegnemen.
Haha inderdaad. De volgende stap is vast dat mensen niet doorhebben dat sommige foto's metadata bevatten waardoor je de locatie moeiteloos op een kaartje kan zien waar de foto is genomen. Oh god, ze lopen daar wel een beetje achter de feiten aan. :'(
Ik neem aan dat je EXIF data bedoeld? Dan moet er wel aanstaan dat de locatie bij de foto genomen wordt, anders gaat dat niet door.
Waarom de batterij en databundel van je privé telefoon/abbo opmaken als je ook die van de baas kan gebruiken.
En je kan maar beter de telefoon van de baas kapot maken tijdens het sporten etc ipv je eigen.

Helaas is dit gedrag blijkbaar normaal.
Ook het meenemen van diensttelefoons naar het buitenland (“gratis” bellen en wifi hotspot aanmaken) is blijkbaar normaal en is al meerdere keren voor gewaarschuwd.

Maja er is nooit opvolging dus gaan mensen er gewoon mee door.
Zelfde als betaal nummers bellen etc.

En zo is er maximaal “misbruik” en dus torenhoge kosten voor de overheid.

De “mooiste” is nog wel dat mensen hun eigen S4 in de kast gooien en de S6plus van de baas gebruiken als privé telefoon inclusief nummer. :+
Nooit de werk apps etc installeren en dus een gratis telefoon hebben met onbeperkt alles abbo voor 0¤ per maand.

[Reactie gewijzigd door Cowamundo op 9 juli 2018 12:14]

Euh, omdat defensie als werkgever van haar (militaire) werknemers EIST dat ze jaarlijks hun fitheidstesten afleggen en hen dus aanmoedigt (ook onder werktijd) om te sporten? Niks makkelijker dan dus je diensttelefoon daarvoor gebruiken.
Polar flow is eigenlijk alleen maar een synchronisatie app om gps sport horloges en fiets computers mee te synchroniseren, data te visualiseren en te synchroniseren met de cloud. Ik kan mij goed voorstellen dat militairen hun trainingen willen tracken dat maakt het (extra) leuk. Bij Polar flow viel het kaartje met alle routes van alle gebruikers mij ook op. Mijn eigen routes staan er ook tussen echter staat er bij mij bij: "by a private user" en "only you can see this route" dus ik vraag mij af of dit datalek een verkeerd ingestelde privacy setting is of dat het alsnog zichbaar is. Sowieso vermoed ik dat definitie er niet op staat te wachten dat dit soort gegevens naar een clouds gestuurd worden.
Routes op private zetten helpt helaas niet. Uit het originele artikel:

Een hoogstwaarschijnlijk andere medewerker van de MIVD sport ook op de Frederikkazerne, maar heeft zijn profiel op privé staan. We kunnen dus niet op zijn naam zoeken in Polar. Door een stomme fout van Polar lukt het ons toch al zijn activiteiten te zien. De app toont namelijk wel het unieke gebruikersnummer van de hardloper. Daar kun je vervolgens verder mee zoeken. De software registreert niet dat we naar een persoon zoeken die achter een privéprofiel schuilt en laat alsnog alle activiteiten zien.
Dat is wel erg slordig zeg! Bedankt voor de verduidelijking. Ik hoop dat ze het snel oplossen als ik nu de functie probeer te gebruiken krijg ik de melding "Training sessions are temporarily unavailable in this view due to technical maintenance" dus ik hoop dat dat komt doordat ze bezig zijn met het te fixen.
Ik ken de app niet maar ik kan me zo voorstellen dat er verschil is tussen routes private of je profiel/naam private :)
Ok prima dan zie je de activiteiten van dat nummer. Slordig maar geen datalek imho.
Dit soort apps zouden toch standaard geblokkeerd moeten zijn op dergelijk toestellen. Zeker in geval van militairen die uitgezonden zijn. Ik vermoed ook dat dit toestellen zijn van defensie?
Kunnen ze die dan niet via een management tool beheren?
Dit zie ik als bescherming tegen dit soort zaken. Hoe gevaarlijk is zo een missie al wel niet en word het nog gevaarlijker als deze info in verkeerde handen valt.
Het staat niet noodzakelijk op hun werktelefoon, als ze met hun eigen telefoon gaan joggen op en rond een basis dan komt dat op hetzelfde neer als de gegevens uitlekken. Een logischer verbod zou dus eerder zijn dat de apps verboden zijn in de buurt van geheime/militaire installaties, maar als je dat niet actief gaat controlleren dan denk ik dat dat niet veel gaat uithalen.
Met een beetje gezond verstand kan je (= de militairen) zelf toch ook wel bedenken dat publieke tracking-apps niet echt een goede combinatie vormen met militaire en geheime locaties?

"He, deze locatie is weggestreept in Google-Maps, laat ik met deze app wel een rondje lopen zodat ze precies weten hoe deze locatie in elkaar steekt" ja handig...
Er zijn zoveel zaken die te vermijden zijn met logisch verstand, maar zulke lekken bewijzen telkens maar weer het tegendeel :).
Ja...helaas heb je daar wel gelijk in :)
Tja, veel kan met gezond verstand voorkomen worden. Helaas zijn er nog heel veel mensen (waaronder dus militairen) die de gevaren van technologie zwaar onderschatten of gewoon niet goed ervan op de hoogte zijn. Veel mensen denken toch nog steeds: "oh, dat overkomt mij toch niet" of "die risico's zullen wel loslopen." En er zijn natuurlijk ook genoeg mensen die er gewoon niet bij stilstaan of wie het gewoon helemaal niks kan schelen. Waarschijnlijk zijn al deze soort mensen ook bij defensie te vinden.

Maar ja, ik snap dan ook niet dat defensie er niet (meer) werk van maakt om ervoor te zorgen dat men zich wel bewust wordt van de consequenties van online gedrag.
Het onderzoek volgde op vergelijkbare analyses die mogelijk waren op basis van de Strava-app.
dit had genoeg waarschuwing moeten zijn om een nieuw incident te voorkomen. moeilijk te begrijpen hoe knullig een militaire tak omgaat met veiligheid van hun informatiesystemen.
Precies mijn gedachte, is inmiddels al 6 maanden geleden dat dit met Strava gebeurde.
Lang leven de stroperigheid van de overheid. Iedereen heeft een mening en iedereen wil zijn eigen onderzoek doen.
Gevolg? Dat dus iets maanden duurt wat binnen no-time besloten had kunnen worden
Hoewel het zeker knullig is na het bekend worden van de risico's door het publiceren van data van Strava gaat het niet om informatiesystemen van defensie. Er wordt informatie zichtbaar die via een standaard-app wordt gepubliceerd. De analyse van die gegevens levert de 'schadelijke' informatie op. Defensie had eerder het gebruik van run-apps moeten verbieden en beter moeten informeren over wanneer GPS uitgezet moet worden.

[Reactie gewijzigd door Paulus73 op 9 juli 2018 10:13]

Waar stopt volgens jou dan de knulligheid?

Dit soort risico over het herkennen en localiseren kan je ook doortrekken naar alle apparaten die in foto's locatiedata schrijven, alle devices die locatie kunnen meten en verzenden, gepersonaliseerde advertenties, surfgedrag, interactie met andere systemen en data in het algemeen van een persoon.

Als het een probleem is dat van mensen ontdekt kan worden waar ze werken, hoe ze zich verplaatsen, welke locaties interessant kunnen zijn dan kan je nog zo veel verbieden maar daarmee verklein je alleen de kans dat er iets ontdekt kan worden. En zelfs al zou een hele groep dat doen, dan heb je alleen dat onder controle.

En als je het doet om het gewone publiek niet te makkelijk aan die informatie te laten komen, denk je dat het gevaar dan echt geweken is als iets grotere bedrijven en organisaties nog veel verdere mogelijkheden hebben om er achter te komen wie interessant zijn of wat interessante locaties zijn?
Och, verbaast me niets...
eerst gebeurt er een incident, dan wordt er een onderzoek van 3 mnd ingesteld om na te gaan hoe breed het incident is, dan moet er nog een oplossing (lees: beleid) komen en goedgekeurd worden op een bepaald nivo. Daar wordt dus tig keer over vergaderd..., dan moet het beleid uitgerold worden over alle eenheden, enz, enz..
Het is nou niet bepaald een kleine organisatie waar alles soepel en snel verloopt. Dan heb je het nog niet over bijvoorbeeld daadwerkelijke aanpassingen zoals inkoopbeleid voor mobieltjes zonder gps enz.
Ook moet gekeken worden of de gps in bepaalde gevallen juist niet gebruikt moet worden (b.v. militair die verdwaald is in vreemd gebied, dan is het toch handig als ie ff kan kijken waar ie precies zit)...

Wat betreft de militairen die eea gebruikt hebben...hieronder wordt gezegd dat het gebruik van gezond verstand een hoop tegengaat...
Toch staat b.v. bij bedrijven nog steeds de bekende phisingmail met stip op gevaar no 1 voor de ict infrastructuur. Ook bekend, ook gebruik van gezond verstand...veel mensen zijn gewoon niet technisch onderlegd en denken er simpelweg niet aan dat zo'n app zulke info laat zien. Zou ik in 1e instantie ook niet aan denken dat het dit soort consequenties zou hebben (en wees eerlijk; als ik nou de rondjes van mijn buurman kan zien, zijn structuur en duur van het lopen kan bepalen en ik zou inbreker zijn, weet ik van hem ook precies wanneer ik 'mijn slag' zou kunnen slaan)...en als ik zie dat mijn buurman iedere dag loopt en hij doet dat een week niet, dan zou ik ook kunnen concluderen dat ie met vakantie is, of ziek is, o.i.d..
Dus het gaat niet alleen op voor militairen...dit is ook gewoon weer een voorbeeld van data die gebruikt kan worden voor andere doeleinden dan dat je eigenlijk als gebruiker zou willen...en zo zijn er nog talloze voorbeelden te verzinnen...
Ik mag toch hopen dat een militair geen eigen apparatuur gebruikt op missie en ook niet zomaar gaat wandelen in onbekend gebied.
Hopen mag je maar uiteindelijk zijn het gewoon mensen die fouten maken net als ieder ander mens.
Is dit niet gewoon een kwestie van de juiste privacy settings binnen de apps van Polar en Strava? Ik ken de Polar app verder niet, maar die van Strava wel en daar kun je de privacy zo instellen dat alleen jijzelf je activiteiten kunt zien en niemand anders.
[...] daar kun je de privacy zo instellen dat alleen jijzelf je activiteiten kunt zien en niemand anders.
Dat is nog maar de vraag. We leven in een wereld waar datahandel (en digitale inbraken) de norm is, niet alleen door criminelen, maar juist door commerciele bedrijven en zelfs overheden.
Er zullen genoeg apps bestaan die zijn beschreven door overheden (lees NSA, FSB, MI6 etc) om burgers en andere overheden te tracken.
Op het moment dat zo'n overheid weet dat een app populair is bij de Nederlandse defensie, en men zich daar totaal niet bezig houdt met digitale privacy en security, dan kan je er van uit gaan dat de eerder genoemde overheden hun pijlen gaan richten op deze apps.
Strava kent een 'Enhanced Privacy Mode'

Enhanced Privacy Mode
If you turn on Enhanced Privacy
Your name will be anonymized (e.g. Patrick C.) to all logged out athletes.
Athletes must request approval to follow you
Hides activities on your profile page from non-followers

Verder was er destijds één en ander te doen om de zogenaamde Metro & Heatmaps. Dit was al anoniem, maar zelfs dat is nu uit te schakelen.

Meer hierover: https://support.strava.co...16918777-Privacy-Settings
Polar Flow heeft een consents pagina in de settings waar je voor allemaal specifieke opties moet aangeven of je het ermee eens bent.
Ik vind het dus ook een beetje kort door de bocht dat er gesproken wordt over een "lek" bij Polar aangezien je als gebruiker toestemming geeft voor het verwerken van je data. Iedereen weet ook dat fitness-apps opties bieden om de resultaten van je matties te zien.

Maar het zal wel weer blaming the victim zijn als ik zoiets zeg.
Je zou toch mogen verwachten dat mensen met beroepen waar zulk soort informatie prijs geven van belang is voor de staatsveiligheid en/of de veiligheid van mede-militairen/ inlichtingdiensten, een stuk professioneler met het weggeven van zulk soort informatie omgaan. 8)7
Want elke militair is een fan van technologie en weet hoe dit allemaal precies werkt? ;)
Verbazingwekkend genoeg niet blijkbaar.

Ik hoop dat ze er zwaar boven op gaan zitten bij defensie en/of andere bedrijven die zich bezighouden met de staatsveiligheid en mensen dan bewust van dit soort risico's gaan maken.

Ik zou persoonlijk het gebruik van privételefoons afschaffen binnen een bepaald gebied om een basis, haha al weet ik niet of dat volgens hedendaagse standaarden niet onder psychische marteling valt :D.
Ik zeg : Meldt je aan !

https://werkenbijdefensie.nl

Onze overheid heeft mensen zoals jij nodig, zonder jouw kennis zijn we verloren.
Roepen vanaf je veilige toetsenbord is zó makkelijk ..
Helaas voor defensie moeten ze het zonder mij stellen omdat ik zeer gedreven ben in een ander technisch beroep op dit moment.

Ik zou wel bij defensie willen werken hoor. Ik durf me in de praktijk ook wel te bewijzen, wees niet bang. Ik heb ervaring met het e.e.a.

Ik voldoe inderdaad wel aan alles wat defensie wenst op het moment, doe nog een opleiding(technische) naast mijn werk, wellicht als ik die af heb en zij mij iets beters kunnen bieden dan mijn huidige werkgever, prima! De overheid en met name defensie hebben me altijd geïnteresseerd.
Helaas niet. Maar naar mijn mening zouden vooral militairen toch beter moeten weten dan klakkeloos maar wat doen. Als je niet weet hoe iets werkt, waarom gebruiken ze het dan? Ze weten toch dat ze een belangrijke rol spelen in de samenleving? Het lijkt me dat dit toch ook wel onder verantwoordelijkheid moet vallen.

Als ze niet kunnen bedenkend dat het gebruik van locatie gegevens problemen kan veroorzaken, vind ik toch dat ze bij defensie hier toch wat meer aandacht aan moeten besteden.
Die mensen gebruiken dat omdat hun dagelijkse leven zich voor lange tijd op zo'n locatie afspeelt, de boog niet altijd gespannen kan zijn en ze ook wat te doen willen/moeten hebben in hun vrije tijd.
Grote kans dat mensen volledig opgaan in een dergelijke tool en de focus alleen maar hebben op zichzelf verbeteren of winnen van collega's en simpelweg niet stilstaan bij mogelijke risico's.
Voorlichting zal dan inderdaad (veel) meer aandacht moeten krijgen maar het zal vermoedelijk een lastig punt blijven gezien smartphones en sociaal media met alles wat daarbij hoort niet meer weg te denken zijn uit de huidige wereld waarin we leven.
Blokkeren van de app op defensie-telefoons is een begrijpelijke zet, maar neemt niet de oorzaak van het probleem weg. Ik neem aan dat men ook even met Polar om de tafel gaat zitten om een oplossing te vinden voor de gevonden problemen. Strava wist vergelijkbare problemen ook vrij snel op te lossen.

En daarnaast zal er ook wat meer discipline gevraagd moeten worden van het defensiepersoneel.
Als je het artikel leest (je moet even doorlezen, het is een flink stuk) dan blijkt dat Strava het probleem dus NIET heeft opgelost. Ze konden nog steeds gevoelige data achterhalen. Ze hebben daar dus niks geleerd (wat me niet verbaast).
Ik denk dit eerder is omdat gebruikers hun privacy settings niet op maximaal hebben staan of uitnutten, dan dit een technisch gat in de beveiliging van strava is waardoor de privacy settings omzeild worden.
waarom moeten de apps het probleem oplossen?
Zij leveren een app, een dienst daarbij die voor 90 % van de mensen geen probleem oplevert (althans, zo zou je het kunnen zien).
Dat een handjevol militairen die app ook gebruiken terwijl ze dat eigenlijk niet zouden moeten willen, is toch niet het probleem van strava of andere makers?
Defensie zou mss zelf een dergelijke app kunnen klonen/in licentie kunnen nemen, maar achterliggend op eigen servers aan laten sluiten ipv data naar de maker te sturen...dan is het probleem toch ook opgelost voor ze?
Het was toch al veel langer bekend dat fitness apps dit soort informatie lekken. In Israël en de VS had men het gebruik ervan al aan banden gelegd.

Waarom ontwikkelen de strijdkrachten niet hun eigen fitness apps, om dit soort risico's uit te sluiten?
Een eigen fitness app maak je niet zo even. Daar gaan heel veel kosten in zitten. Nog meer als je kijkt naar het verleden van overheid en softwareontwikkeling.
Daarnaast zijn er vast nog meer categorieën apps die je locatie delen. Bijv. navigatie apps.

Het uitschakelen van de locatie op toestellen is gewoon een stuk goedkoper en effectiever.
Mwaaah, je kan zo'n app wel voor een paar ton maken. Als men de kosten deelt met andere NAVO strijdkrachten dan is dat goed te doen. Je zou de app zo kunnen maken dat hij alleen data lokaal opslaat en niets verstuurd (of alleen onder bepaalde condities).

Het probleem is dat je je locatie feitelijk nooit kan uitschakelen. Apps kunnen ook je locatie bepalen op basis van zendmasten of Wifi IP adres. Dan zou je helemaal geen smartphone of computer meer kunnen gebruiken en dat lijkt mij niet wenselijk.

Los daarvan stuurt Android ook continu informatie naar Google, ook als je locatiebepaling hebt uitstaan. Dan zou men ook een totaal ander smartphone besturingssysteem moeten gebruiken.

[Reactie gewijzigd door ArtGod op 9 juli 2018 09:11]

We stellen een lijst samen van meer dan tweehonderd locaties
208 om precies te zijn.
In totaal vinden we 6.460 sporters
Tot onze verbazing kunnen we die data gewoon opvragen: het zijn ruim 650.000 activiteiten, ofwel enkele gigabytes aan data.
Waarom gegevens van zo veel personen downloaden als je met één of twee cases je punt ook wel kunt maken? Het is niet zo dat het in één download te krijgen was, ze geven aan de app via een "verborgen" URL te hebben gescraped.
Ik denk dat er wel nieuwswaarde in zit. Ten eerste laat je daarmee simpel zien hoe groot het probleem is. Daarnaast kun je met zoveel data ook behoorlijk gedetailleerde kaarten en schema's samenstellen.
Uit zo'n pool kun je dan ook gemakkelijker de geanonimiseerde data terugherleiden naar personen door de gegevens te vergelijken met andere databanken die je hebt liggen.
Ik snap wel dat Bellingcat geïnteresseerd is in deze data, als zij later een onderzoek willen starten en alvast iets op de plank hebben liggen is dat alleen maar mooi meegenomen. Maar dat is direct ook het gevaar. Iedereen weet nu dat zij en De Correspondent deze gegevens hebben liggen. Wil iemand in Mali militairen die daar zijn gestationeerd pijn doen, dan zouden ze gewoon even iemand bij de Weesperzijde in Amsterdam langs kunnen laten gaan, de data meenemen en daarna gebruiken om de familieleden van de 6.460 militairen (of in ieder geval; het deel dat in Mali actief is) onder druk te zetten.

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True