Grootschalige audit onthult 1.300 kwetsbaarheden in gezondheids- en fitnessapps: onveilige opslag van wachtwoorden en tokens. Ontdek tips voor 2FA, updates.
© RusPhotoBank
AppSec Solutions heeft een grootschalige audit uitgevoerd van ongeveer honderd populaire mobiele apps voor gezondheid en fitness. De uitkomst is moeilijk te negeren: analisten telden meer dan 1.300 kwetsbaarheden, waarvan 450 als kritisch of met hoge ernst zijn beoordeeld.
De kern van het probleem zit in de onveilige opslag van gevoelige gegevens. Wachtwoorden, toegangstokens en persoonlijke informatie van gebruikers bleken rechtstreeks in de broncode van apps te staan. Daarmee wordt de drempel voor aanvallers verlaagd en ontstaat een directe route naar interne diensten en privédata. Het is het soort basisfout dat op deze schaal eenvoudigweg niet zou mogen voorkomen.
Extra risicovol zijn apps die zowel financiële gegevens als locatie-informatie verzamelen. Veel fitnessdiensten bieden betaalde functies en toegang tot betaalinformatie, terwijl ze tegelijk trainingsroutes en bewegingen volgen. Die combinatie kan toezicht en datadiefstal in de hand werken — een riskante cocktail van geld en beweging.
Om de veiligheid te vergroten adviseren experts om geen bankkaarten aan apps te koppelen, tweefactorauthenticatie in te schakelen, software up-to-date te houden en machtigingsverzoeken bij installatie zorgvuldig te controleren. Ook raden ze aan om apps alleen via officiële kanalen te downloaden. Het zijn eenvoudige stappen, maar juist dan tellen ze mee als de basis wankel is.