Эксперты «Ростелеком-Солар» проверили защищённость мобильных фитнес-приложений*

Специалисты компании «Ростелеком-Солар» провели сравнительное исследование защищённости 16 популярных мобильных приложений для занятий фитнесом и спортом. Некоторые уязвимости, которые нашли в приложениях, потенциально могут привести к компрометации конфиденциальных данных пользователей.

Исследование проводили в разгар пандемии короновируса Covid-19. В большинстве стран мира ввели жёсткие карантинные меры и закрыли все объекты массового посещения, в том числе фитнес-центры. В связи с этим эксперты отметили значительный рост популярности различных онлайн-сервисов и мобильных приложений, предлагающих спортивные упражнения и тренировки в домашних условиях. Так, ряд разработчиков приложений в США зарегистрировали резкое увеличение количества новых пользователей, а также 50-процентный рост подписки на фитнес-программы, не требующие спортивного снаряжения.

Эксперты «Ростелеком-Солар» проверили на уязвимость популярные мобильные фитнес-приложения инструментом Solar appScreener — российским программным продуктом для проверки защищённости приложений. Все просканированные приложения содержали встроенные покупки, а значит, при наличии определённых уязвимостей, данные платёжных карт пользователей могут быть скомпрометированы в результате кибератаки. Кроме того, приложения могут запрашивать доступ к местоположению телефона пользователя, к контактам, календарю, учётным записям в соцсетях.

По результатам автоматизированного сканирования самыми защищёнными Android-приложениями для занятий фитнесом признали приложения Fitness Online и «Тренировки для дома» от Leap Fitness Group. Эти приложения не содержат ни одной критической уязвимости, их показатель общего уровня защищённости равен 4,1 балла из пяти. Неожиданно слабые результаты продемонстрировала Android-версия фитнес-приложения NTC торговой марки Nike, Inc. Данное приложение содержит в исходном коде 12 вхождений критических уязвимостей, что превышает предельно допустимый показатель в пять единиц, чтобы не опуститься ниже среднего по рынку общего уровня защищенности.

Лучшие показатели продемонстрировало iOS-приложение Daily Workouts Fitness Trainer, однако и оно по результатам тестирования набрало лишь один балл, что значительно ниже среднего по отрасли показателя в 2,2 балла. iOS-приложение MiFIT включает самое большое количество вхождений уязвимостей критического уровня, поэтому по результатам автоматизированной проверки с помощью Solar appScreener оно получило самый низкий балл — ноль баллов из пяти.

— В случае успешной эксплуатации ряда выявленных в приложениях уязвимостей злоумышленник может получить доступ к данным банковских карт пользователей, их переписке и персональным данным в социальных аккаунтах, личным данным других людей в контактах смартфонов пользователей фитнес-приложений и другой чувствительной информации. Кроме того, некоторые из исследованных приложений могут допускать утечку технической информации о приложении, что потенциально позволяет злоумышленнику совершить атаку на приложение. Например, внедрить вредоносный код, а также, получив контроль над приложением, совершать атаки на другие системы, — прокомментировал руководитель направления Solar appScreener компании «Ростелеком-Солар» Даниил Чернов.

Сервисы для анализа отобрали по популярности: занимаемому месту в категории «Здоровье и фитнес» в App Store и Google Play, количеству установок не менее 5 миллионов, а также позициям в рейтингах «The 10 Best Fitness Apps to Download in 2020», «Семь лучших фитнес-приложений для iOS» и «Семь лучших фитнес-приложений для Android». Приложения рассматривались в вариантах для мобильных операционных систем iOS и Android.