Частные приложения, размещенные в галерее Fitbit, не сканируются на наличие вредоносного кода

Галерея Fitbit — это универсальный магазин утвержденных приложений Fitbit, таких как Spotify или Starbucks Card. И хотя Fitbit вручную сканирует все опубликованные приложения «Галерея» на наличие вредоносных программ, общедоступные «частные» приложения не подвергаются такой же обработке. Если кто-то отправит вам по электронной почте ссылку для загрузки приложения Fitbit, игнорируйте ее!

Fitbit позволяет разработчикам загружать «частные» приложения в галерею, чтобы помочь в тестировании. К сожалению, любой, у кого есть ссылка для скачивания, может установить частное приложение. Злоумышленники могут поделиться частной ссылкой для загрузки для распространения вредоносного ПО для сбора данных, угрозы, обнаруженной Кевином Брином и опубликованной BleepingComputer.

Кевин Брин, директор по исследованию угроз в Immersive Labs, успешно загрузил вредоносное частное приложение в Галерею и использовал его для кражи данных GPS о местоположении, частоте сердечных сокращений, росте и возрасте с тестовых устройств. На Android вредоносное приложение также может читать любые календари, подключенные к Fitbit. Брин мог даже настроить приложение для сканирования и доступа к сетевым инструментам, таким как маршрутизаторы и брандмауэры, благодаря API-интерфейсу Fitbit fetch.

К счастью, Кевин Брин представил свое исследование компании Fitbit, которая отреагировала, добавив предупреждения к загрузкам частных приложений. Fitbit также планирует отказаться от разрешений для частных приложений по умолчанию, предоставив пользователям возможность вручную предоставить доступ к своему возрасту, контактам и другой информации. Как всегда, Fitbit сканирует приложения Галереи на наличие вредоносного кода, прежде чем они будут опубликованы на общедоступной странице Галереи.

Источник: Кевин Брин через BleepingComputer.