你觉得，戴上运动手环去跑步，记录的就只是心率和步数

没人告诉你，你每一回迈出的每一步，或许正被一个陌生人悄悄看着

2026年2月，三星可穿戴设备应用GalaxyWearable被曝光有严重权限漏洞（CVE-2026-20984）。当非三星设备安装这个应用时，本地的攻击者不用特殊权限，就能直接读取用户的健康数据、设备配置还有位置信息，就跟门没关，不用钥匙就能进去一样。

这并不是小众产品的小问题

2025年，全球健身追踪设备出货量已经达到1.78亿台，市场预计到2028年将会超过950亿美元，用的人越多，数据池就越深，而且数据池越深，漏洞造成的代价就越严重，很多人觉得，「我又不是名人，谁会盯着我的跑步数据」

英国军方刚用一场真实的灾祸给出了答案

2026年4月，调查人员分析跑步使用Strava的公开数据后发现，英国一共有519名现役军人及相关人员，在好几个高度敏感军事基地周围公开记载了运动道路，其间包括核武库法斯莱恩基地的潜艇艇员，就靠着一条跑步道路,  调查员便推论出某名战士所属的核潜艇编号。

这场走漏，既没有黑客进犯，也没有体系侵入，数据一向处于公开情况,  是用户自己走漏了隐私，

问题的本源并非在于用户太笨之类的，而是这类产品在规划初步时期,  就把共享当作默许值，而不是把维护当作默许值，当敞开为默许选项时，绝大多数用户就在不了解情况的情况下成了数据牺牲品。

安全机构AV-TEST对主流健身手环进行测试，发现七款主流设备都存在安全缺陷，其中部分产品把用户数据用明文形式存储在手机本地，一点加密保护都没有，《Verizon移动安全报告》显示,  85%的企业曾经碰到过针对移动设备的攻击，跑步设备不只是健康工具，它正在变成攻击者的入口之一。

漏洞是存在的，厂商是知道的，风险是真实的，用户却不理解，这个信息差距,  才是最大的安全隐患，

CVE-2026-20984直到被公开披露了，修复版本才推送上线此前全部版本的用户都处于没保护的状态,  三星的修复提议也很保守，更新应用、检查权限设置这些本应该出厂就做好的事情，却推给普通用户去做了。

这可不是一场关于技术问题的讨论，而是一场关于权力关系的讨论

厂商掌握着技术的主导权,  可是用户却得承担安全方面的后果，当你买一款跑步监测设备的时候，你同时签了一份根本没好好读过的数据协议，协议的那一头，是一个对你的路线、习惯、位置、生物特征特别感兴趣的生态系统。

麻省理工学院的研究老早之前就已经指出，只靠四个位置数据点,  就能准确识别95%的匿名用户身份，6年过去了，数据采集的密度提高了很多倍，这个比例只会更高。

你觉得你在记录自己的生活，但数据记录的,  是一个能被还原、能被追踪、能被利用的你，

这条跑步的路，走得不是独自一个人

声明：本文内容超过90%是原创,  少量素材借助AI辅助，但是所有内容都经过我严格审核和核对。所用图片都是真实拍摄或者AI生成的原创素材。

全文为传递积极健康的价值观，没有任何低俗或者不良的导向，望读者知悉。