Prywatne aplikacje udostępnione w galerii Fitbit nie są skanowane w poszukiwaniu złośliwego kodu

Galeria Fitbit to punkt kompleksowej obsługi zatwierdzonych aplikacji Fitbit, takich jak Spotify czy Starbucks Card. I chociaż Fitbit ręcznie skanuje wszystkie opublikowane aplikacje Galerii pod kątem złośliwego oprogramowania, udostępniane „prywatne” aplikacje nie są traktowane tak samo. Jeśli ktoś wyśle ​​Ci link do pobrania aplikacji Fitbit, zignoruj ​​to!

Fitbit pozwala programistom przesyłać „prywatne” aplikacje do Galerii, aby pomóc w testowaniu. Niestety każdy, kto ma link do pobrania, może zainstalować prywatną aplikację. Źli przestępcy mogą udostępnić prywatne łącze pobierania, aby rozprzestrzeniać złośliwe oprogramowanie gromadzące dane, zagrożenie zidentyfikowane przez Kevina Breena i opublikowane przez BleepingComputer.

Kevin Breen, dyrektor ds. badań nad zagrożeniami w Immersive Labs, z powodzeniem przesłał szkodliwą prywatną aplikację do Galerii i użył jej do kradzieży danych o lokalizacji GPS, tętnie, wzroście i wieku z urządzeń testowych. Na Androidzie złośliwa aplikacja potrafiła również czytać dowolne kalendarze połączone z Fitbitem. Breen może nawet skonfigurować aplikację do skanowania i uzyskiwania dostępu do narzędzi sieciowych, takich jak routery i zapory, dzięki interfejsowi API pobierania Fitbit.

Na szczęście Kevin Breen przesłał swoje badania do firmy Fitbit, która odpowiedziała, dodając ostrzeżenia do prywatnych pobrań aplikacji. Fitbit planuje również domyślnie zrezygnować z prywatnych uprawnień aplikacji, dając użytkownikom możliwość ręcznego zapewnienia dostępu do ich wieku, kontaktów i innych informacji. Jak zawsze, Fitbit skanuje aplikacje Galerii w poszukiwaniu złośliwego kodu, zanim zostaną opublikowane na publicznej stronie Galerii.

Źródło: Kevin Breen za pośrednictwem BleepingComputer