Las aplicaciones privadas compartidas en la galería de Fitbit no se analizan en busca de código malicioso

Fitbit Gallery es una ventanilla única para aplicaciones Fitbit aprobadas, como Spotify o Starbucks Card. Y aunque Fitbit escanea manualmente todas las aplicaciones de la Galería publicadas en busca de malware, las aplicaciones "privadas" que se pueden compartir no reciben el mismo tratamiento. Si alguien te envía un correo electrónico con un enlace de descarga para una aplicación de Fitbit, ¡ignóralo!

Fitbit permite a los desarrolladores cargar aplicaciones "privadas" en la Galería para ayudar en las pruebas. Desafortunadamente, cualquier persona con un enlace de descarga puede instalar una aplicación privada. Los malos actores pueden compartir un enlace de descarga privado para propagar malware de recopilación de datos, una amenaza identificada por Kevin Breen y publicitada por BleepingComputer.

Kevin Breen, director de investigación de amenazas en Immersive Labs, subió con éxito una aplicación privada maliciosa a la Galería y la usó para robar datos de ubicación GPS, frecuencia cardíaca, altura y edad de los dispositivos de prueba. En Android, la aplicación maliciosa también podría leer cualquier calendario conectado a Fitbit. Breen incluso podría configurar la aplicación para escanear y acceder a herramientas de red como enrutadores y cortafuegos, gracias a la API de recuperación de Fitbit.

Afortunadamente, Kevin Breen envió su investigación a la empresa Fitbit, que respondió agregando advertencias a las descargas de aplicaciones privadas. Fitbit también planea excluir los permisos de aplicaciones privadas de forma predeterminada, dando a los usuarios la opción de proporcionar acceso manualmente a su edad, contactos y otra información. Como siempre, Fitbit analiza las aplicaciones de la Galería en busca de códigos maliciosos antes de que se publiquen en la página pública de la Galería.

Fuente: Kevin Breen vía BleepingComputer