I fitness tracker sono dispositivi molto utili per tenere traccia delle attività sportive, ma in alcuni casi possono diventare strumenti piuttosto pericolosi per la privacy. Dopo la vicenda Strava, un’altra azienda è ora al centro dell’attenzione per aver diffuso pubblicamente un numero eccessivo di informazioni degli utenti. Si tratta del produttore finlandese Polar, la cui app Polar Flow ha rivelato la posizione di basi militari e altri luoghi sensibili.
Polar Flow registra tutti i dati dell’allenamento (distanza, tempo, velocità, cadenza, calorie bruciate, frequenza cardiaca e altri), ma offre anche una funzionalità social, denominata Explore, che permette di condividere i percorsi su una mappa pubblica e con app di terze parti, tra cui Facebook. Spesso gli utenti usano nomi reali per i profili, una foto e attivano il GPS del fitness tracker all’esterno della loro abitazione o luogo di lavoro. Polar mantiene inoltre una cronologia degli esercizi dal 2014.
Utilizzando queste informazioni, alcuni giornalisti ed esperti di sicurezza hanno scoperto quasi 6.500 utenti, molti dei quali sono militari che lavorano in Medio Oriente, lungo il confine della Corea del Nord, in Iran e in altri siti sensibili. Alcuni di essi abitano vicino alla base militare, quindi è possibile determinare sia il luogo di lavoro che la loro residenza. I dati sull’altitudine consentono addirittura di scoprire il piano dell’edificio in cui si trova l’appartamento.
A causa di un vulnerabilità, l’app Polar Flow permette di ottenere informazioni anche per gli utenti che hanno impostato il profilo come privato. Inoltre non c’è nessun limite al numero di richieste tramite API, quindi è possibile risalire all’intera cronologia degli allenamenti. Polar ha comunicato che non ha subito nessun furto di dati. Tuttavia la funzionalità Explore è stata temporaneamente disattivata in attesa di trovare la migliore soluzione che permetta di usarla, ricordando agli utenti di evitare la condivizione pubblica della posizione GPS.