Fitify, одно из самых популярных фитнес-приложений с более чем 10 миллионами установок через Google Play и около 25 миллионами загрузок по всем платформам, оказалось в центре скандала, связанного с утечкой приватных изображений пользователей. Команда Cybernews выявила серьёзный инцидент: публично доступный облачный хранилище Google, принадлежащий Fitify, содержал сотни тысяч файлов, в том числе фотографии пользователей, на которых запечатлены физические изменения тела в процессе тренировок.
Обнаружение уязвимости состоялось в начале мая 2025 года. Хранилище не требовало ни пароля, ни ключа для доступа, что позволяло абсолютно любому получить доступ к конфиденциальным данным. Среди 373 тысяч файлов оказалось около 206 тысяч пользовательских аватаров, 138 тысяч «фотографий прогресса» и 6 тысяч 3D-сканов тел, включая метаданные, использующиеся для анализа массы тела, жировых отложений и осанки. Ещё 13 тысяч файлов были прикреплены в переписке с ИИ-коучем.
Наибольшую озабоченность вызвал тот факт, что фотографии прогресса и телесканирования нередко сделаны в минимальной одежде или вовсе без неё — это стандартная практика среди пользователей, отслеживающих изменения в теле. Подобные снимки предполагались как строго личные и, согласно описанию Fitify в Google Play, должны были быть защищены шифрованием в процессе передачи данных. Однако отсутствующая защита на уровне хранения полностью обесценила это обещание.
После уведомления от Cybernews компания Fitify Workouts закрыла доступ к хранилищу и устранила проблему, сделав файлы недоступными для посторонних. Несмотря на оперативную реакцию, инцидент выявил и другие тревожные признаки. Специалисты обнаружили в коде приложения жёстко прописанные ключи и секреты, которые могли быть использованы злоумышленниками для получения дополнительного доступа к внутренним системам и пользовательским данным.
Секреты были обнаружены как в среде разработки, так и в производственной версии приложения. Среди них — идентификаторы клиентов Android и Google, API-ключи, ссылки на Firebase, Project ID, хранилище данных, а также, в продакшн-версии, ключи и токены Facebook*, динамические домены Firebase и даже ключ Algolia. Последний, к слову, не упоминается в политике конфиденциальности приложения, хотя сервис Algolia не допускает локального размещения, и вся информация в нём хранится на внешних серверах.
Наличие таких данных в открытом виде создаёт множественные векторы атаки, включая возможность подделки приложений, вмешательства в пользовательский контент и даже утечки данных социальных сетей.
Авторы расследования подчеркнули, что Fitify хоть и раскрывает используемые сторонние сервисы, недостаточно информирует о рисках, связанных с их применением. Ситуация обостряется тем, что среди 156 тысяч iOS-приложений, проанализированных Cybernews, около 71% содержали хотя бы один открытый секрет в коде — Fitify оказался одним из них.
Для предотвращения подобных инцидентов специалисты рекомендуют настроить механизмы аутентификации облачных хранилищ, ограничив доступ только уполномоченным лицам и системам. Также критично важно отозвать утёкшие ключи, создать новые и обновить приложение в соответствии с усиленной инфраструктурой безопасности. Необходимо провести аудит на предмет возможного злоупотребления уязвимостями.
* Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.