Private Apps, die in der Fitbit-Galerie geteilt werden, werden nicht auf bösartigen Code gescannt

Die Fitbit -Galerie ist eine zentrale Anlaufstelle für zugelassene Fitbit-Apps wie Spotify oder Starbucks Card. Und während Fitbit alle veröffentlichten Galerie-Apps manuell auf Malware scannt, erhalten gemeinsam nutzbare „private“ Apps nicht die gleiche Behandlung. Wenn Ihnen jemand per E-Mail einen Download-Link für eine Fitbit-App sendet, ignorieren Sie ihn!

Fitbit ermöglicht es Entwicklern, „private“ Apps in die Galerie hochzuladen, um sie beim Testen zu unterstützen. Leider kann jeder mit einem Download-Link eine private App installieren. Angreifer können einen privaten Download -Link teilen, um datensammelnde Malware zu verbreiten, eine Bedrohung, die von Kevin Breen identifiziert und von BleepingComputer veröffentlicht wurde .

Kevin Breen, Threat Research Director bei Immersive Labs, hat erfolgreich eine bösartige private App in die Galerie hochgeladen und sie verwendet, um GPS-Standort, Herzfrequenz, Größe und Altersdaten von Testgeräten zu stehlen. Auf Android könnte die bösartige App auch alle Kalender lesen, die mit dem Fitbit verbunden sind. Dank der Fitbit-Abruf-API konnte Breen die App sogar so konfigurieren, dass sie Netzwerktools wie Router und Firewalls scannt und darauf zugreift.

Zum Glück reichte Kevin Breen seine Forschung an die Firma Fitbit ein, die darauf reagierte, indem sie Warnungen zu privaten App-Downloads hinzufügte. Fitbit plant außerdem, die Berechtigungen für private Apps standardmäßig abzulehnen, sodass Benutzer die Möglichkeit haben, manuell Zugriff auf ihr Alter, ihre Kontakte und andere Informationen zu gewähren. Wie immer scannt Fitbit Gallery-Apps auf bösartigen Code, bevor sie auf der öffentlichen Gallery-Seite veröffentlicht werden.

Quelle: Kevin Breen über BleepingComputer