只要你有一台智能手機,或佩戴著各種健康手環,在跑步健身時多數都會有這個指定動作:打開健身 App,追蹤自己的運動狀況,以作鞭策。成效如何則見仁見智,但顯然不是每個用家都適合這樣做。譬如說,如果你是駐守阿富汗的美軍士兵。當個人紀錄上傳到雲端,就會變成國家級災難,因為遠在地球另一端的澳洲,就連一個大學生都能輕易知道軍營的位置和大小。
Strava 是近年冒起的健身追蹤 App 大熱之選,藉著龐大和精準的 GPS 定點和資料庫,官方表示能紀錄共計 20 萬年的活動數據,訊息量達天文數字。除此之外,在去年 11 月,Strava 便為程式更新了熱圖(Heat map)功能,除了顯示衛星地圖,更精細得能夠繪出全球用家的運動數據,包括逾 10 億次活動紀錄的路線和頻率,令用家不再是「單機」做運動,在紀錄個人資料的同時,亦能知道所在地周圍的熱門跑步路線作為參詳。
儘管 Strava 的強大功能一直被用家讚好,不過,就在上個週末,正於澳洲國立大學就讀國際安全及中東研究的三年級學生 Nathan Ruser,便於個人 Twitter 寫道:「Strava 上的全球熱圖,為用家提供了 13 兆個 GPS 定點,看來非常美好,但對防護部隊來說則不是好事,可以清楚辨認和找到美軍基地的位置了。」與此同時,他舉了幾個位於敍利亞和阿富汗的駐軍地點為例子,並提出自己的看法,指熱圖上所顯示的路線應該就是部分軍人跑步健身時留下的痕跡:「如果軍人就像普通人一樣使用這個 App,在運動時一直紀錄自己的路線資料,這可能會非常危險。」
熱圖功能紀錄了數量驚人的用家活動,綜合起來就像人口分佈圖一樣,覆蓋了美國和西歐國家的絕大部分地區。反之,大部分非洲和中東國家並沒有訊息顯示,當中如伊拉克和敍利亞這些戰區和沙漠地帶,亦差不多是一整片黑色的 —— 卻在某些零散地方出現有如聖誕樹的閃光,清楚顯示有人在此走動並打開了追蹤功能。這無疑是將軍事機密對全球公開,只要放大顯示,就能知道美軍各個基地的位置以至動員分佈。
消息在網上迅速引來關注,繼而於各大海外媒體曝光,甚至有傳台灣的飛彈指揮部都被 Strava 的用戶圈出來。台灣國防部發言人陳中吉於回應時指營區內的手機有訊號管制,以免被定位洩露部隊位置。至於美國,據多家媒體引述,美軍空軍基上校 John Thomas 以司令部發言人身份表示,自上週日起美軍已著手研究有關事件。不過,對這類健身追蹤 Apps 是否設有使用規限,軍方則未有回應。事實上,美國國防部曾鼓勵軍人使用 Fitbits 等健身手環,並在 2013 年購入 2,500 條協助駕駛員於習訓時減重。
Strava 回覆科技新聞網 CNET 時作出聲明:「我們的全球熱圖,旨在收集和匿名化處理超過 10 億次用家活動,而這並不包括私人地方。我們希望用家了解到,他們能透過不同設置,控制自己所分享的內容。」
健身追蹤 App 的地圖功能,並非第一次引起全球軍事建築機密外洩的疑慮,問題早年就因為 Google 地圖以至公共衛星圖片而備受關注。然而,稍為有別的是,Google 地圖只是提供了建築物和道路的位置訊息,Strava 的熱圖卻在此之外披露了更多資料。儘管熱圖上的資料不是實時畫面,卻累積了由 2015 年前至今的活動紀錄,包括人們的行走路線,以及該路線在甚麼時間、有多少人走動,或對全體軍方人員構成安全威脅。
這是一個隨著科技資訊普及而產生的長久漏洞,美國軍方亦意識到人手一台的智能手機或平板電腦都有著潛在的保安問題,並有可能會追蹤到他們的位置,故此早就提出不少新限制,如禁止用家帶著個人電子儀器進入敏感區域。不過,過去一兩年形勢開始改變,皆因有一部分為軍方造成困擾的手機 App,本身就相當具知名度,用家甚多,更難防範。最經典的例子是以擴增實境(Augmented Reality)為賣點的 Pokemon Go。美軍於 2016 年夏天,即 Pokemon Go 面世不久,便下令嚴禁所有跟政府機關有連結的智能手機安裝此遊戲 App,而且,由於在遊戲途中會用到攝影機作紀錄,部分單位的建築物或駐點,亦提醒全體人員在打開遊戲之前需要確保四周環境不會洩密。此外,美軍亦曾警告軍隊,切勿在 FourSquare 等含有地圖功能的 App 上標註自己或同伴的位置。
對一名用家來說,或只是紀錄個人活動的用途,但數以萬計的用家資訊,於地圖上重疊起來,便足以分析集體活動的規模和頻率。Strava 熱圖洩密,正反映出小小一部智能手機或健身手環,所暴露的訊息量或遠多於個人層面。