Компания «Ростелеком-Солар» провела исследование защищенности распространённых фитнес-приложений для занятий спортом. Все проверенные приложения бесплатны, но часть из них имеет встроенные платные функции. Программы были выбраны из соответствующих категорий магазинов Google Play и App Store.
В большинстве исследуемых приложений специалисты «Ростелеком-Солар» обнаружили следующие уязвимости:
- непроработанные алгоритмы хеширования;
- применение NSLog и обход проверки безопасности Security Manager;
- использование небезопасного режима для алгоритма шифрования.
В представленном отчете говорится о том, что только два приложения для ОС Android не имеют критических уязвимостей – Fitness Online и «Тренировки для дома». Проанализировав андроид-приложения, специалисты «Ростелеком-Солар» обнаружили, что более 80% программ пользуются алгоритмом шифрования с неправильным режимом, из-за чего зашифрованное сообщение зачастую не аутентифицируется. Во все исследуемых приложениях для Android обнаружено, что они допускают небезопасный вызов метода из недоверенного кода, из-за чего в сочетании с остальными методами у киберпреступника появляется возможность исполнения произвольного кода.
Для iOS-приложений в большей степени характерно применение слабых алгоритмов шифрования, установка SSL-соединения с небезопасными параметрами, использование «отладочного» метода NSLog. Каждая из этих уязвимостей была обнаружена во всех проверенных мобильных приложениях для гаджетов Apple.
Исследуемые андроид-приложения получили следующие оценки защищенности от компании «Ростелеком-Солар»:
- Fitness Online – 4,1 из 5.
- «Тренировки для дома» - 4,1.
- Workout Trainer – 2,9.
- Mi FIT – 2,9.
- Freeletics Training Coach – 2,6.
- JEFIT – 2,3.
- Endomondo – 2,2.
- «7 минут Упражнение» - 2,0.
- NTC – 1,5.
Удручающая ситуация сложилась с приложениями для iOS. Специалисты «Ростелеком-Солар» отмечают крайне низкий уровень защищенности iOS-приложений для спорта и фитнеса. Самую высокую оценку уровня защищенности получило приложение Daily Workouts Fitness Trainer – 1,0 из 5. Остальные исследуемые программы набрали от 0,0 до 0,8 баллов. Настолько низкие показатели объясняются огромным количеством вхождений критических уязвимостей в iOS-версиях, если сравнивать с андроид-приложениями. Отчасти слабая защита подобных программ нивелируется высокой защищенностью самой операционной системы iOS.
Полная версия отчета компании «Ростелеком-Солар» представлена по ссылке.
