Fitbit-galleriassa jaettuja yksityisiä sovelluksia ei tarkisteta haitallisen koodin varalta

Viimeisin päivitys huhti 5, 2022

Fitbit Gallery on keskitetty palvelupiste hyväksytyille Fitbit-sovelluksille, kuten Spotifylle tai Starbucks Cardille. Ja vaikka Fitbit tarkistaa manuaalisesti kaikista julkaistuista Galleria-sovelluksista haittaohjelmien varalta, jaettavia "yksityisiä" sovelluksia ei kohdella samalla tavalla. Jos joku lähettää sinulle sähköpostilla Fitbit-sovelluksen latauslinkin, jätä se huomiotta!

Fitbitin avulla kehittäjät voivat ladata "yksityisiä" sovelluksia galleriaan testauksen avuksi. Valitettavasti jokainen, jolla on latauslinkki, voi asentaa yksityisen sovelluksen. Huonot näyttelijät voivat jakaa yksityisen latauslinkin levittääkseen tietoja kerääviä haittaohjelmia, Kevin Breenin tunnistamaa ja BleepingComputerin julkistamaa uhkaa .

Kevin Breen, Immersive Labsin uhkatutkimusjohtaja, latasi onnistuneesti haitallisen yksityisen sovelluksen Galleriaan ja varasti sen avulla GPS-sijainti-, syke-, pituus- ja ikätiedot testilaitteista. Androidissa haitallinen sovellus voi lukea myös kaikki Fitbitiin liitetyt kalenterit. Breen voisi jopa määrittää sovelluksen skannaamaan ja käyttämään verkkotyökaluja, kuten reitittimiä ja palomuureja, Fitbit-haku API:n ansiosta.

Onneksi Kevin Breen toimitti tutkimuksensa Fitbit-yritykselle, joka vastasi lisäämällä varoituksia yksityisiin sovellusten latauksiin. Fitbit aikoo myös poistaa yksityisten sovellusten käyttöoikeudet oletusarvoisesti, jolloin käyttäjät voivat valita manuaalisesti pääsyn ikänsä, yhteystietoihinsa ja muihin tietoihinsa. Kuten aina, Fitbit etsii Galleria-sovelluksista haitallista koodia ennen kuin ne julkaistaan julkisella galleriasivulla.

Lähde: Kevin Breen BleepingComputerin kautta

: www.reviewgeek.com