Коротко

Новости

Подробно

Фото: Александр Казаков / Коммерсантъ   |  купить фото

Незащищенный фитнес опасен для граждан

На физкультуру по мобильным приложениям подсели мошенники

Газета "Коммерсантъ" от , стр. 1

Приложения для фитнеса переживают резкий рост популярности, разработчики софта заявляют о росте спроса и выручки в связи с самоизоляцией на 30–40%. Но компании в сфере кибербезопасности предупреждают, что большинство из подобных приложений крайне плохо защищены, хотя могут иметь доступ в том числе к платежным данным. Отдельные разработчики могут даже специально оставлять «дыры» в безопасности, чтобы зарабатывать на продаже массивов данных, допускают эксперты.


Уровень защищенности наиболее популярных фитнес-приложений крайне низок: в среднем его можно оценить на два балла из пяти, следует из отчета компании «Ростелеком-Солар» (есть у “Ъ”). Компания проанализировала защищенность 16 приложений (см. таблицу). Выяснилось, что всего два из десяти приложений для Android не содержат критических уязвимостей, а на iOS таких приложений вообще нет, хотя сама операционная система более защищена.

Уровень защищенности фитнес-приложений

Приложение Разработчик Уровень защищенности (от 0 до 5)
Android iOs
Endomondo Endomondo.com 2,2 0,5
Mi FIT Anhui Huami Information Technology Co., Ltd 2,9 0
Workout Trainer Skimble 2,9 0,2
Fitness Online Fitness Online LLC / ITPlus LLC 4,1 0,2
NTC Nike, Inc. 1,5 Нет данных
«Тренировки для дома» Leap Fitness Group 4,1 Нет данных
Freeletics Training Coach Freeletics 2,6 Нет данных
«Фитнес и бодибилдинг» VGFIT LLC 2,4 Нет данных
JEFIT Jefit Inc. 2,3 Нет данных
«7 минут упражнение» Simple design Ltd. 2 Нет данных
Daily Workouts fitness trainer Daily Workout Apps, LLC Нет данных 1
Fitness Point Zero one GmbH Нет данных 0,8
7 Minute Workout: Fitness App Fast Builder Limited Нет данных 0,8
«Фитнес-план 30 дней» Abishkking Limited Нет данных 0,4
PEAR — Personal Fitness Coach PEAR Sports Нет данных 0,2
«Тренировки дома — фитнес-тренер» Abishkking Limited Нет данных 0,2

Источник: «Ростелеком-Солар», март 2020 года.

Фитнес-приложения потенциально опасны тем, что могут компрометировать данные пользователей, уточняют в «Ростелеком-Солар». Все исследованные приложения содержат встроенные покупки, а значит, собирают данные платежных карт. Также приложение может иметь доступ к местоположению телефона пользователя, контактам, календарю, учетным записям в социальных сетях. Вся эта информация может попасть в руки злоумышленников в случае успешной эксплуатации выявленных в приложениях уязвимостей, предупреждают в компании. Кроме того, некоторые из приложений могут позволять злоумышленнику получить контроль над ними, чтобы затем атаковать другие системы, сообщается в отчете.

«Удручающий» общий уровень безопасности фитнес-приложений связан с тем, что разработчики мало заботятся о безопасности продуктов и уделяют внимание только развитию функционала, удобству использования, дизайну и маркетинговым активностям, считает руководитель направления аналитики и спецпроектов ГК InfoWatch Андрей Арсентьев. Кроме того, создатели приложений могут намеренно оставлять определенные «дыры» в безопасности, полагает эксперт, отмечая, что продажа массивов данных позволяет разработчикам увеличивать доход.

Информация с фитнес-браслетов и мобильных приложений для здорового образа жизни представляет большой интерес, например, для производителей продуктов питания, медицинских товаров и страховых продуктов, поясняет господин Арсентьев. Так, в 2019 году выяснилось, что более десяти приложений отправляли в Facebook как стандартные сведения о диете и физических нагрузках, так и данные о женском здоровье, отмечает он.

Утечка данных фитнес-приложений может стать «отличным уловом» для тех, кто хочет организовать слежку за человеком, а также подобная информация может использоваться для атаки с применением социальной инженерии, добавляет руководитель группы исследований безопасности мобильных приложений Positive Technologies Николай Анисеня.

Еще один типичный сценарий — создание привлекательного приложения, которое на самом деле функционирует совсем не так, как ожидается, а несет вредоносную составляющую, отмечает технический директор Trend Micro в России и СНГ Михаил Кондрашин. Он рекомендует устанавливать приложения только из официального магазина, так как на альтернативных площадках уровень контроля «нулевой», а также регулярно обновлять приложения и как можно чаще удалять с устройства конфиденциальные данные.

При этом на фоне самоизоляции популярность приложений для онлайн-фитнеса и сопутствующего софта резко растет, что подтверждают опрошенные “Ъ” разработчики. Рост числа желающих использовать онлайн-тренировки сейчас «очень похож на скорость распространения вируса», утверждает директор по развитию системы автоматизации для фитнес-клубов, включающей мобильное приложение, Mobifitness Станислав Коробков. У системы «1С:Фитнес клуб» наблюдается еженедельный прирост заявок на 30% в связи с тем, что фитнес-клубы переходят на онлайн-тренировки, отметил директор по развитию системы Руслан Микитюк. А основательница фитнес-приложения Welps Наталья Давыдова 28 марта заявила «Коммерсантъ FM», что с момента начала самоизоляции количество покупок приложения Welps выросло в четыре раза, общая выручка — на 40%.

Юлия Степанова


Комментарии
Профиль пользователя