На физкультуру по мобильным приложениям подсели мошенники

Приложения для фитнеса переживают резкий рост популярности, разработчики софта заявляют о росте спроса и выручки в связи с самоизоляцией на 30–40%. Но компании в сфере кибербезопасности предупреждают, что большинство из подобных приложений крайне плохо защищены, хотя могут иметь доступ в том числе к платежным данным. Отдельные разработчики могут даже специально оставлять «дыры» в безопасности, чтобы зарабатывать на продаже массивов данных, допускают эксперты.

Уровень защищенности наиболее популярных фитнес-приложений крайне низок: в среднем его можно оценить на два балла из пяти, следует из отчета компании «Ростелеком-Солар» (есть у “Ъ”). Компания проанализировала защищенность 16 приложений (см. таблицу). Выяснилось, что всего два из десяти приложений для Android не содержат критических уязвимостей, а на iOS таких приложений вообще нет, хотя сама операционная система более защищена.

Фитнес-приложения потенциально опасны тем, что могут компрометировать данные пользователей, уточняют в «Ростелеком-Солар». Все исследованные приложения содержат встроенные покупки, а значит, собирают данные платежных карт. Также приложение может иметь доступ к местоположению телефона пользователя, контактам, календарю, учетным записям в социальных сетях. Вся эта информация может попасть в руки злоумышленников в случае успешной эксплуатации выявленных в приложениях уязвимостей, предупреждают в компании. Кроме того, некоторые из приложений могут позволять злоумышленнику получить контроль над ними, чтобы затем атаковать другие системы, сообщается в отчете.

«Удручающий» общий уровень безопасности фитнес-приложений связан с тем, что разработчики мало заботятся о безопасности продуктов и уделяют внимание только развитию функционала, удобству использования, дизайну и маркетинговым активностям, считает руководитель направления аналитики и спецпроектов ГК InfoWatch Андрей Арсентьев. Кроме того, создатели приложений могут намеренно оставлять определенные «дыры» в безопасности, полагает эксперт, отмечая, что продажа массивов данных позволяет разработчикам увеличивать доход.

Информация с фитнес-браслетов и мобильных приложений для здорового образа жизни представляет большой интерес, например, для производителей продуктов питания, медицинских товаров и страховых продуктов, поясняет господин Арсентьев. Так, в 2019 году выяснилось, что более десяти приложений отправляли в Facebook как стандартные сведения о диете и физических нагрузках, так и данные о женском здоровье, отмечает он.

Утечка данных фитнес-приложений может стать «отличным уловом» для тех, кто хочет организовать слежку за человеком, а также подобная информация может использоваться для атаки с применением социальной инженерии, добавляет руководитель группы исследований безопасности мобильных приложений Positive Technologies Николай Анисеня.

Еще один типичный сценарий — создание привлекательного приложения, которое на самом деле функционирует совсем не так, как ожидается, а несет вредоносную составляющую, отмечает технический директор Trend Micro в России и СНГ Михаил Кондрашин. Он рекомендует устанавливать приложения только из официального магазина, так как на альтернативных площадках уровень контроля «нулевой», а также регулярно обновлять приложения и как можно чаще удалять с устройства конфиденциальные данные.

При этом на фоне самоизоляции популярность приложений для онлайн-фитнеса и сопутствующего софта резко растет, что подтверждают опрошенные “Ъ” разработчики. Рост числа желающих использовать онлайн-тренировки сейчас «очень похож на скорость распространения вируса», утверждает директор по развитию системы автоматизации для фитнес-клубов, включающей мобильное приложение, Mobifitness Станислав Коробков. У системы «1С:Фитнес клуб» наблюдается еженедельный прирост заявок на 30% в связи с тем, что фитнес-клубы переходят на онлайн-тренировки, отметил директор по развитию системы Руслан Микитюк. А основательница фитнес-приложения Welps Наталья Давыдова 28 марта заявила «Коммерсантъ FM», что с момента начала самоизоляции количество покупок приложения Welps выросло в четыре раза, общая выручка — на 40%.

Юлия Степанова