Le app private condivise nella Galleria Fitbit non vengono scansionate per codice dannoso

La Fitbit Gallery è uno sportello unico per le app Fitbit approvate, come Spotify o Starbucks Card. E mentre Fitbit esegue la scansione manuale di tutte le app della Galleria pubblicate alla ricerca di malware, le app "private" condivisibili non ricevono lo stesso trattamento. Se qualcuno ti invia via email un link per il download di un’app Fitbit, ignoralo!

Fitbit consente agli sviluppatori di caricare app "private" nella Galleria per aiutare nei test. Sfortunatamente, chiunque abbia un link per il download può installare un’app privata. I malintenzionati possono condividere un link di download privato per diffondere malware per la raccolta di dati, una minaccia identificata da Kevin Breen e pubblicizzata da BleepingComputer.

Kevin Breen, direttore della ricerca sulle minacce presso Immersive Labs, ha caricato con successo un’app privata dannosa nella Galleria e l’ha utilizzata per rubare dati su posizione GPS, frequenza cardiaca, altezza ed età dai dispositivi di test. Su Android, l’app dannosa potrebbe anche leggere tutti i calendari collegati a Fitbit. Breen potrebbe persino configurare l’app per scansionare e accedere a strumenti di rete come router e firewall, grazie all’API di recupero Fitbit.

Per fortuna, Kevin Breen ha inviato la sua ricerca alla società Fitbit, che ha risposto aggiungendo avvisi ai download di app private. Fitbit prevede inoltre di disattivare le autorizzazioni delle app private per impostazione predefinita, offrendo agli utenti la possibilità di fornire manualmente l’accesso alla propria età, contatti e altre informazioni. Come sempre, Fitbit esegue la scansione delle app della Galleria alla ricerca di codice dannoso prima che vengano pubblicate nella pagina della Galleria pubblica.

Fonte: Kevin Breen tramite BleepingComputer