информационное
Рixabay@.Анализ 16-ти фитнес-сервисов показал, что ряд обнаруженных в приложениях уязвимостей потенциально могут привести к компрометации конфиденциальных данных пользователей.
Данное исследование проводилось в разгар пандемии короновируса Covid-19. В большинстве стран мира были введены жесткие карантинные меры и закрыты все объекты массового посещения, в том числе фитнес-центры. В связи с этим эксперты отметили значительный рост популярности различных онлайн-сервисов и мобильных приложений, предлагающих спортивные упражнения и тренировки в домашних условиях. Так, ряд разработчиков приложений в США зарегистрировали резкое увеличение количества новых пользователей, а также 50 процентов рост подписки на фитнес-программы, не требующие спортивного снаряжения.
Исходя из актуальности тематики эксперты «Ростелеком-Солар» проверили на уязвимость популярные мобильные фитнес-приложения (в том числе для занятий на дому) с помощью инструмента Solar appScreener. Все просканированные приложения содержат встроенные покупки, а значит, при наличии определённых уязвимостей, данные платёжных карт пользователей могут быть скомпрометированы в результате кибератаки. Кроме того, приложения могут запрашивать доступ к местоположению телефона пользователя, к контактам, календарю, учётным записям в социальных сетях.
По результатам автоматизированного сканирования с помощью Solar appScreener самыми защищёнными Android-приложениями для занятий фитнесом признаны приложения Fitness Online и «Тренировки для Дома» (Leap Fitness Group). Эти приложения не содержат ни одной критической уязвимости, их показатель общего уровня защищённости равен 4.1 балла из 5.0. Неожиданно слабые результаты продемонстрировала Android-версия фитнес-приложения NTC торговой марки Nike, Inc. Данное приложение содержит в исходном коде 12 вхождений критических уязвимостей, что превышает предельно допустимый показатель в пять единиц, чтобы не опуститься ниже среднего по рынку общего уровня защищённости.
Лучшие показатели продемонстрировало iOS-приложение Daily Workouts Fitness Trainer, однако и оно по результатам тестирования набрало лишь 1 балл, что значительно ниже среднего по отрасли показателя в 2.2 балла. iOS-приложение MiFIT (в отличие от своего Android-аналога) включает самое большое количество вхождений (209!) уязвимостей критического уровня. Поэтому по результатам автоматизированной проверки с помощью Solar appScreener оно получило самый низкий балл — 0.0 балла из 5.0.
— В случае успешной эксплуатации ряда выявленных в приложениях уязвимостей злоумышленник может получить доступ к данным банковских карт пользователей, их переписке и персональным данным в социальных аккаунтах, личным данным других людей в контактах смартфонов пользователей фитнес-приложений и другой чувствительной информации. Кроме того, некоторые из исследованных приложений могут допускать утечку технической информации о приложении, что потенциально позволяет злоумышленнику совершить атаку на приложение. Например, внедрить вредоносный код, а также, получив контроль над приложением, совершать атаки на другие системы, — комментирует Даниил Чернов, руководитель направления Solar appScreener компании «Ростелеком-Солар».
Сервисы для анализа были отобраны согласно критерию популярности: занимаемому месту в категории «Здоровье и фитнес» в App Store и Google Play, количеству установок не менее 5 миллионов, а также позициям в рейтингах «The 10 Best Fitness Apps to Download in 2020», «7 лучших фитнес-приложений для iOS» и «7 лучших фитнес-приложений для Android». Приложения рассматривались в вариантах для мобильных операционных систем iOS и Android.
Анализ безопасности кода мобильных фитнес-приложений осуществлялся автоматически с помощью Solar appScreener — российского программного продукта для проверки защищенности приложений. Решение использует методы статического, динамического и интерактивного анализа. При подготовке исследования модуль декомпиляции и деобфускации был отключен. Статический анализ производился в отношении бинарного кода мобильных приложений в автоматическом режиме.
***
«Ростелеком-Солар» — компания группы ПАО «Ростелеком». Национальный провайдер сервисов и технологий для защиты информационных активов, целевого мониторинга и управления информационной безопасностью.
В основе технологий лежит понимание, что настоящая информационная безопасность возможна только через непрерывный мониторинг и удобное управление системами ИБ. Этот принцип реализован в продуктах и сервисах.
* * *
Архангельский филиал ПАО «Ростелеком» — структурное подразделение компании «Ростелеком», которое действует на территории Архангельской области и Ненецкого автономного округа. Филиал находится в административном и функциональном подчинении Макрорегионального филиала «Северо-Запад» ПАО «Ростелеком» («Ростелеком — Северо-Запад»). Архангельский филиал обслуживает более 105 тысяч абонентов телефонии, свыше 141,3 тысяч пользователей интернет и более 64,5 тысяч абонентов IPTV.
* * *
ПАО «Ростелеком» — крупнейший в России провайдер цифровых услуг и решений, который присутствует во всех сегментах рынка и охватывает миллионы домохозяйств, государственных и частных организаций.
«Ростелеком» занимает лидирующие позиции на рынке услуг высокоскоростного доступа в интернет и платного телевидения. Услугами ШПД пользуется свыше 13,2 млн абонентов, платного ТВ — 10,4 миллиона, из них свыше 5,6 миллиона подключено к услуге «Интерактивное ТВ».
Выручка группы компаний за 2019 год составила 337,4 миллиарда рублей, OIBDA достигла 106,5 миллиарда рублей (31,6 процента от выручки), чистая прибыль — 16,5 миллиарда рублей.
«Ростелеком» является лидером рынка телекоммуникационных услуг для органов государственной власти России и корпоративных пользователей всех уровней.
Компания — признанный технологический лидер в инновационных решениях в области электронного правительства, кибербезопасности, дата-центров и облачных вычислений, биометрии, здравоохранения, образования, жилищно-коммунальных услуг.
Стабильное финансовое положение компании подтверждается кредитными рейтингами: агентства Fitch Ratings на уровне «BBB-», агентства Standard & Poorʼs на уровне «BB+», а также агентства АКРА на уровне «AA (RU)».