Privata appar som delas på Fitbit Gallery skannas inte efter skadlig kod

Fitbit Gallery är en one-stop shop för godkända Fitbit-appar, som Spotify eller Starbucks Card. Och medan Fitbit manuellt skannar alla publicerade Galleri-appar efter skadlig programvara, får delbara "privata" appar inte samma behandling. Om någon skickar en e-post till dig en nedladdningslänk för en Fitbit-app, ignorera den!

Fitbit låter utvecklare ladda upp "privata" appar till galleriet för att hjälpa till med testning. Tyvärr kan alla med en nedladdningslänk installera en privat app. Dåliga skådespelare kan dela en privat nedladdningslänk för att sprida skadlig programvara som samlar in data, ett hot som identifierats av Kevin Breen och publicerats av BleepingComputer.

Kevin Breen, hot research director på Immersive Labs, laddade upp en skadlig privat app till Galleriet och använde den för att stjäla GPS-plats, puls, höjd och åldersdata från testenheter. På Android kan den skadliga appen också läsa alla kalendrar som är anslutna till Fitbit. Breen kunde till och med konfigurera appen för att skanna och komma åt nätverksverktyg som routrar och brandväggar, tack vare Fitbits appetch API.

Tack och lov lämnade Kevin Breen sin forskning till Fitbit-företaget, som svarade genom att lägga till varningar för privata appnedladdningar. Fitbit planerar också att välja bort privata appbehörigheter som standard, vilket ger användarna möjlighet att manuellt ge åtkomst till sin ålder, kontakter och annan information. Som alltid skannar Fitbit Galleri-appar efter skadlig kod innan de publiceras på den offentliga Galleri-sidan.

Källa: Kevin Breen via BleepingComputer