В следствии пандемии власти многих стран закрыли места общественного скопления, а так же фитнес-центры, чтобы предотвратить распространение инфекции.
После решения властей к закрытию спортивных заведений был зафиксирован рост популярности мобильных приложений для занятия спортом, помогающих заниматься физической культурой не выходя из дома.
Специалисты из «Ростелеком-Солар» проверили защищённость мобильных приложений, предназначенных для занятий фитнесом и обнаружили ряд уязвимостей как:
- Слабый алгоритм хеширования
- Небезопасные параметры SSL
- Использование NSLog
- Небезопасная рефлексия
- Небезопасный режим для алгоритма шифрования
- Обход проверок безопасности SecurityManager
- Внутренняя утечка ценной информации
Отчёт специалистов, охватывает 16 приложений.
Уровень защищенности Android-версий:
Согласно вышеприведенному отчёту результатов сканирования, наиболее защищенными Android-приложениями для занятия спортом признаны приложения Fitness Online и «Тренировки для Дома» (Leap Fitness Group). Эти приложения не содержат ни одной критической уязвимости, их показатель общего уровня защищенности равен 4.1 балла из 5.0.
Неплохие результаты (заметно выше среднего по отрасли уровня в 2.2 балла) продемонстрировали приложения Workout Trainer и Mi FIT. Их общий уровень защищенности равен 2,9 балла, поскольку они содержат в программном коде лишь по 2 критичных уязвимости.
Уровень защищенности iOS-версий:
По результатам, представленным в PDF документе, можно сделать вывод о крайне низком уровне защищенности мобильных фитнес-приложений, разработанных под операционную систему iOS, по сравнению с Android-сервисами. Столь низкие показатели объясняются на порядок большим количеством вхождений уязвимостей критического уровня в iOS-версиях по сравнению с Android-приложениями.
Лучшие показатели продемонстрировало iOS-приложение Daily Workouts Fitness Trainer, однако и оно по результатам тестирования набрало лишь 1.0 балла, что значительно ниже среднего по отрасли показателя в 2.2 балла. iOS-приложение MiFIT (в отличие от своего Android-аналога) включает самое большое количество вхождений (209!) уязвимостей критического уровня. Поэтому по результатам автоматизированной проверки с помощью Solar appScreener оно получило самый низкий балл – 0.0 балла из 5.0.
Вывод:
Исследование защищенности мобильных приложений для занятия фитнесом и спортом показало, что Android-версии проанализированных мобильных сервисов отличаются заметно более высокой защищенностью, чем их iOS-аналоги.
По итогам сканирования в приложениях обнаружен ряд уязвимостей, потенциально ведущих к компрометации обрабатываемых данных.
В частности, все приложения содержат встроенные покупки, а значит, собирают данные платежных карт пользователей.
Также исследованные приложения собирают данные учетных записей пользователей в приложении, включая логины, пароли и уникальные ID.
Кроме того, приложения могут запрашивать доступ к местоположению телефона пользователя, к контактам, календарю, учетным записям в социальных сетях.
С вами был Cyber Security. Вот наш канал Telegram.
Мы делаем Web и Интернет в целом интересным и актуальным, лучшая награда за наш труд — это ваша подписка и палец вверх.
Комментируйте и дополняйте :)