Fitbiti galeriis jagatud privaatseid rakendusi ei kontrollita pahatahtliku koodi suhtes

Viimati uuendatud apr. 1, 2022

Fitbiti galerii on heakskiidetud Fitbiti rakenduste, nagu Spotify või Starbucks Card, jaoks ühest kohast. Ja kuigi Fitbit kontrollib käsitsi kõiki avaldatud Galerii rakendusi pahavara suhtes, siis jagatavaid privaatseid rakendusi ei kohelda samamoodi. Kui keegi saadab teile meili teel Fitbiti rakenduse allalaadimislingi, ignoreerige seda!

Fitbit võimaldab arendajatel testimise abistamiseks galeriisse üles laadida privaatseid rakendusi. Kahjuks saab igaüks, kellel on allalaadimislink, installida privaatse rakenduse. Halvad näitlejad saavad jagada privaatset allalaadimislinki , et levitada andmeid koguvat pahavara – ohtu, mille tuvastas Kevin Breen ja mille avalikustas BleepingComputer.

Immersive Labsi ohuuuringute direktor Kevin Breen laadis galeriisse edukalt üles pahatahtliku privaatrakenduse ja kasutas seda GPS-i asukoha, pulsi, pikkuse ja vanuse andmete varastamiseks testseadmetest. Androidis võib pahatahtlik rakendus lugeda ka kõiki Fitbitiga ühendatud kalendreid. Tänu Fitbiti toomise API-le võiks Breen isegi konfigureerida rakenduse võrgutööriistadele, nagu ruuterid ja tulemüürid, skannima ja neile juurde pääsema.

Õnneks esitas Kevin Breen oma uurimistöö Fitbiti ettevõttele, kes vastas, lisades hoiatused privaatsete rakenduste allalaadimistele. Fitbit kavatseb ka vaikimisi loobuda privaatsete rakenduste lubadest, andes kasutajatele võimaluse anda käsitsi juurdepääs oma vanusele, kontaktidele ja muule teabele. Nagu alati, kontrollib Fitbit galerii rakendusi pahatahtliku koodi suhtes, enne kui need avaldatakse avalikul galerii lehel.

Allikas: Kevin Breen BleepingComputeri kaudu

: www.reviewgeek.com