Специалисты компании «Ростелеком-Солар» провели анализ 16 фитнес-сервисов. В исследовании выявляли технические слабости, которые могут привести к компрометации конфиденциальных данных пользователей.
Это исследование проводилось в разгар пандемии коронавируса COVID-19. В большинстве стран мира были введены жесткие карантинные меры и закрыты все объекты массового посещения, в том числе фитнес-центры. В связи с этим эксперты отметили значительный рост популярности различных онлайн-сервисов и мобильных приложений, предлагающих тренировки в домашних условиях.
Эксперты «Ростелеком-Солар» проверили популярные мобильные фитнес-приложения с помощью инструмента Solar appScreener. Все просканированные приложения содержат встроенные покупки, а значит, при наличии определенных уязвимостей, данные платежных карт пользователей могут быть скомпрометированы в результате кибератаки. Кроме того, приложения могут запрашивать доступ к местоположению телефона пользователя, к контактам, календарю, учетным записям в социальных сетях.
Самыми защищенными Android-приложениями для занятий фитнесом признаны приложения Fitness Online и «Тренировки для Дома» (Leap Fitness Group). Эти приложения не содержат ни одной критической уязвимости, их показатель общего уровня защищенности равен 4.1 балла из 5.0. Лучшие показатели продемонстрировало iOS-приложение Daily Workouts Fitness Trainer, однако и оно по результатам тестирования набрало лишь 1 балл, что значительно ниже среднего по отрасли показателя в 2.2 балла.
Руководитель направления Solar appScreener компании «Ростелеком-Солар Даниил Чернов рассказал, почему некоторые приложения могут быть опасны для пользователей:
— Если злоумышленник успешно воспользуется уязвимостями «слабых» приложений, то он может получить доступ к данным банковских карт пользователей, их переписке и персональным данным в социальных аккаунтах, личным данным других людей в контактах смартфонов. Кроме того, некоторые из исследованных приложений могут допускать утечку технической информации о приложении, что позволяет злоумышленнику совершить атаку на него. Например, внедрить вредоносный код или совершать атаки на другие системы.
Сервисы для анализа были отобраны согласно критерию популярности: занимаемому месту в категории «Здоровье и фитнес» в App Store и Google Play, количеству установок не менее 5 млн, а также позициям в рейтингах «The 10 Best Fitness Apps to Downloadin 2020», «7 лучших фитнес-приложений для iOS» и «7 лучших фитнес-приложений для Android». Приложения рассматривались в вариантах для мобильных операционных систем iOS и Android.
Анализ безопасности кода мобильных фитнес-приложений осуществлялся автоматически с помощью Solar appScreener — российского программного продукта для проверки защищенности приложений. Решение использует методы статического, динамического и интерактивного анализа. При подготовке исследования модуль декомпиляции и деобфускации был отключен. Статический анализ производился в отношении бинарного кода мобильных приложений в автоматическом режиме.