Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Исследование защищенности мобильных фитнес-приложений

2
2 мин
Компания «Ростелеком-Солар» провела исследование защищенности распространённых фитнес-приложений для занятий спортом. Все проверенные приложения бесплатны, но часть из них имеет встроенные платные функции. Программы были выбраны из соответствующих категорий магазинов Google Play и App Store. В большинстве исследуемых приложений специалисты «Ростелеком-Солар» обнаружили следующие уязвимости: В представленном отчете говорится о том, что только два приложения для ОС Android не имеют критических уязвимостей – Fitness Online и «Тренировки для дома». Проанализировав андроид-приложения, специалисты «Ростелеком-Солар» обнаружили, что более 80% программ пользуются алгоритмом шифрования с неправильным режимом, из-за чего зашифрованное сообщение зачастую не аутентифицируется. Во все исследуемых приложениях для Android обнаружено, что они допускают небезопасный вызов метода из недоверенного кода, из-за чего в сочетании с остальными методами у киберпреступника появляется возможность исполнения п

Компания «Ростелеком-Солар» провела исследование защищенности распространённых фитнес-приложений для занятий спортом. Все проверенные приложения бесплатны, но часть из них имеет встроенные платные функции. Программы были выбраны из соответствующих категорий магазинов Google Play и App Store.

В большинстве исследуемых приложений специалисты «Ростелеком-Солар» обнаружили следующие уязвимости:

  • непроработанные алгоритмы хеширования;
  • применение NSLog и обход проверки безопасности Security Manager;
  • использование небезопасного режима для алгоритма шифрования.

В представленном отчете говорится о том, что только два приложения для ОС Android не имеют критических уязвимостей – Fitness Online и «Тренировки для дома». Проанализировав андроид-приложения, специалисты «Ростелеком-Солар» обнаружили, что более 80% программ пользуются алгоритмом шифрования с неправильным режимом, из-за чего зашифрованное сообщение зачастую не аутентифицируется. Во все исследуемых приложениях для Android обнаружено, что они допускают небезопасный вызов метода из недоверенного кода, из-за чего в сочетании с остальными методами у киберпреступника появляется возможность исполнения произвольного кода.

Для iOS-приложений в большей степени характерно применение слабых алгоритмов шифрования, установка SSL-соединения с небезопасными параметрами, использование «отладочного» метода NSLog. Каждая из этих уязвимостей была обнаружена во всех проверенных мобильных приложениях для гаджетов Apple.

Исследуемые андроид-приложения получили следующие оценки защищенности от компании «Ростелеком-Солар»:

  • Fitness Online – 4,1 из 5.
  • «Тренировки для дома» - 4,1.
  • Workout Trainer – 2,9.
  • Mi FIT – 2,9.
  • Freeletics Training Coach – 2,6.
  • JEFIT – 2,3.
  • Endomondo – 2,2.
  • «7 минут Упражнение» - 2,0.
  • NTC – 1,5.

Удручающая ситуация сложилась с приложениями для iOS. Специалисты «Ростелеком-Солар» отмечают крайне низкий уровень защищенности iOS-приложений для спорта и фитнеса. Самую высокую оценку уровня защищенности получило приложение Daily Workouts Fitness Trainer – 1,0 из 5. Остальные исследуемые программы набрали от 0,0 до 0,8 баллов. Настолько низкие показатели объясняются огромным количеством вхождений критических уязвимостей в iOS-версиях, если сравнивать с андроид-приложениями. Отчасти слабая защита подобных программ нивелируется высокой защищенностью самой операционной системы iOS.

Полная версия отчета компании «Ростелеком-Солар» представлена по ссылке.

Гаджеты и электроника
5,73 млн интересуются