Экстремальный спорт: эксперты проверили защищенность мобильных фитнес-приложений

14 апреля 2020 год, 17:00
Экстремальный спорт: эксперты проверили защищенность мобильных фитнес-приложений

Специалисты компании «Ростелеком-Солар» провели сравнительное исследование защищенности популярных мобильных приложений для занятий фитнесом и спортом.

Анализ 16-ти фитнес-сервисов показал, что ряд обнаруженных в приложениях уязвимостей потенциально могут привести к компрометации конфиденциальных данных пользователей.

Данное исследование проводилось в разгар пандемии короновируса Covid-19. В большинстве стран мира были введены жесткие карантинные меры и закрыты все объекты массового посещения, в том числе фитнес-центры. В связи с этим эксперты отметили значительный рост популярности различных онлайн-сервисов и мобильных приложений, предлагающих спортивные упражнения и тренировки в домашних условиях. Так, ряд разработчиков приложений в США зарегистрировали резкое увеличение количества новых пользователей, а также 50% рост подписки на фитнес-программы, не требующие спортивного снаряжения.

Исходя из актуальности тематики эксперты «Ростелеком-Солар» проверили на уязвимость популярные мобильные фитнес-приложения (в том числе для занятий на дому) с помощью инструмента Solar appScreener. Все просканированные приложения содержат встроенные покупки, а значит, при наличии определенных уязвимостей, данные платежных карт пользователей могут быть скомпрометированы в результате кибератаки. Кроме того, приложения могут запрашивать доступ к местоположению телефона пользователя, к контактам, календарю, учетным записям в социальных сетях.

По результатам автоматизированного сканирования с помощью Solar appScreener самыми защищенными Android-приложениями для занятий фитнесом признаны приложения Fitness Online и «Тренировки для Дома» (Leap Fitness Group). Эти приложения не содержат ни одной критической уязвимости, их показатель общего уровня защищенности равен 4.1 балла из 5.0. Неожиданно слабые результаты продемонстрировала Android-версия фитнес-приложения NTC торговой марки Nike, Inc. Данное приложение содержит в исходном коде 12 вхождений критических уязвимостей, что превышает предельно допустимый показатель в 5 единиц, чтобы не опуститься ниже среднего по рынку общего уровня защищенности.

Лучшие показатели продемонстрировало iOS-приложение Daily Workouts Fitness Trainer, однако и оно по результатам тестирования набрало лишь 1 балл, что значительно ниже среднего по отрасли показателя в 2.2 балла. iOS-приложение MiFIT (в отличие от своего Android-аналога) включает самое большое количество вхождений (209!) уязвимостей критического уровня. Поэтому по результатам автоматизированной проверки с помощью Solar appScreener оно получило самый низкий балл – 0.0 балла из 5.0.

«В случае успешной эксплуатации ряда выявленных в приложениях уязвимостей злоумышленник может получить доступ к данным банковских карт пользователей, их переписке и персональным данным в социальных аккаунтах, личным данным других людей в контактах смартфонов пользователей фитнес-приложений и другой чувствительной информации. Кроме того, некоторые из исследованных приложений могут допускать утечку технической информации о приложении, что потенциально позволяет злоумышленнику совершить атаку на приложение. Например, внедрить вредоносный код, а также, получив контроль над приложением, совершать атаки на другие системы», – комментирует Даниил Чернов, руководитель направления Solar appScreener компании «Ростелеком-Солар».

Сервисы для анализа были отобраны согласно критерию популярности: занимаемому месту в категории «Здоровье и фитнес» в App Store и Google Play, количеству установок не менее 5 млн, а также позициям в рейтингах «The 10 Best Fitness Apps to Download in 2020», «7 лучших фитнес-приложений для iOS» и «7 лучших фитнес-приложений для Android». Приложения рассматривались в вариантах для мобильных операционных систем iOS и Android.

Анализ безопасности кода мобильных фитнес-приложений осуществлялся автоматически с помощью Solar appScreener – российского программного продукта для проверки защищенности приложений. Решение использует методы статического, динамического и интерактивного анализа. При подготовке исследования модуль декомпиляции и деобфускации был отключен. Статический анализ производился в отношении бинарного кода мобильных приложений в автоматическом режиме.

Источник: 53 новости


Комментарии

Добавить комментарий

Ваше имяимя (ник) для отображения
E-mailне показывается на сайте
Комментарий
Введите код  цифры кода

Новости - Календарь
ПНВТСРЧТПТСБВС
010203
04050607080910
11121314151617
18192021222324
252627282930
Реклама


Новости по годам

2024

январь, февраль, март, апрель, май, июнь, июль, август, сентябрь, октябрь, ноябрь,

2023

январь, февраль, март, апрель, май, июнь, июль, август, сентябрь, октябрь, ноябрь, декабрь

2022

январь, февраль, март, апрель, май, июнь, июль, август, сентябрь, октябрь, ноябрь, декабрь

2021

январь, февраль, март, апрель, май, июнь, июль, август, сентябрь, октябрь, ноябрь, декабрь

2020

январь, февраль, март, апрель, май, июнь, июль, август, сентябрь, октябрь, ноябрь, декабрь

2019

январь, февраль, март, апрель, май, июнь, июль, август, сентябрь, октябрь, ноябрь, декабрь

2018

январь, февраль, март, апрель, май, июнь, июль, август, сентябрь, октябрь, ноябрь, декабрь

2017

январь, февраль, март, апрель, май, июнь, июль, август, сентябрь, октябрь, ноябрь, декабрь

2016

январь, февраль, март, апрель, май, июнь, июль, август, сентябрь, октябрь, ноябрь, декабрь

2015

январь, февраль, март, апрель, май, июнь, июль, август, сентябрь, октябрь, ноябрь, декабрь

2014

январь, февраль, март, апрель, май, июнь, июль, август, сентябрь, октябрь, ноябрь, декабрь

2013

январь, февраль, март, апрель, май, июнь, июль, август, сентябрь, октябрь, ноябрь, декабрь

2012

январь, февраль, март, апрель, май, июнь, июль, август, сентябрь, октябрь, ноябрь, декабрь

2011

январь, февраль, март, апрель, май, июнь, июль, август, сентябрь, октябрь, ноябрь, декабрь

2010

январь, февраль, март, апрель, май, июнь, июль, август, сентябрь, октябрь, ноябрь, декабрь