Исследование защищенности мобильных фитнес-приложений

Дата: 22.06.2020. Автор: Артем П. Категории: Отчеты и исследования по информационной безопасности
Исследование защищенности мобильных фитнес-приложений

Компания «Ростелеком-Солар» провела исследование защищенности распространённых фитнес-приложений для занятий спортом. Все проверенные приложения бесплатны, но часть из них имеет встроенные платные функции. Программы были выбраны из соответствующих категорий магазинов Google Play и App Store.

В большинстве исследуемых приложений специалисты «Ростелеком-Солар» обнаружили следующие уязвимости:

  • непроработанные алгоритмы хеширования;
  • применение NSLog и обход проверки безопасности Security Manager;
  • использование небезопасного режима для алгоритма шифрования.

В представленном отчете говорится о том, что только два приложения для ОС Android не имеют критических уязвимостей – Fitness Online и «Тренировки для дома». Проанализировав андроид-приложения, специалисты «Ростелеком-Солар» обнаружили, что более 80% программ пользуются алгоритмом шифрования с неправильным режимом, из-за чего зашифрованное сообщение зачастую не аутентифицируется. Во все исследуемых приложениях для Android обнаружено, что они допускают небезопасный вызов метода из недоверенного кода, из-за чего в сочетании с остальными методами у киберпреступника появляется возможность исполнения произвольного кода.

Для iOS-приложений в большей степени характерно применение слабых алгоритмов шифрования, установка SSL-соединения с небезопасными параметрами, использование «отладочного» метода NSLog. Каждая из этих уязвимостей была обнаружена во всех проверенных мобильных приложениях для гаджетов Apple.

Исследуемые андроид-приложения получили следующие оценки защищенности от компании «Ростелеком-Солар»:

  • Fitness Online – 4,1 из 5.
  • «Тренировки для дома» — 4,1.
  • Workout Trainer – 2,9.
  • Mi FIT – 2,9.
  • Freeletics Training Coach – 2,6.
  • JEFIT – 2,3.
  • Endomondo – 2,2.
  • «7 минут Упражнение» — 2,0.
  • NTC – 1,5.

Удручающая ситуация сложилась с приложениями для iOS. Специалисты «Ростелеком-Солар» отмечают крайне низкий уровень защищенности iOS-приложений для спорта и фитнеса. Самую высокую оценку уровня защищенности получило приложение Daily Workouts Fitness Trainer – 1,0 из 5. Остальные исследуемые программы набрали от 0,0 до 0,8 баллов. Настолько низкие показатели объясняются огромным количеством вхождений критических уязвимостей в iOS-версиях, если сравнивать с андроид-приложениями. Отчасти слабая защита подобных программ нивелируется высокой защищенностью самой операционной системы iOS.

Полная версия отчета компании «Ростелеком-Солар» представлена по ссылке.

Об авторе Артем П

Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован.