AppSec Solutions znalazło 1300 podatności w popularnych aplikacjach zdrowia i fitness, w tym 450 krytycznych. Poznaj zagrożenia i praktyczne zalecenia ochrony.
© RusPhotoBank
AppSec Solutions przeprowadziło zakrojony na szeroką skalę audyt, sprawdzając około stu popularnych aplikacji mobilnych z segmentu zdrowia i fitness. Wnioski trudno zbagatelizować: analitycy wykryli ponad 1300 podatności, z czego 450 sklasyfikowano jako krytyczne lub o wysokim poziomie ryzyka.
Sedno problemu to niebezpieczne przechowywanie wrażliwych danych — haseł, tokenów dostępowych i danych osobowych użytkowników — bezpośrednio w kodzie źródłowym aplikacji. Taka praktyka realnie obniża próg wejścia dla napastników, torując im drogę do mechanizmów usług oraz do danych osobowych przy minimalnym oporze. Trudno oprzeć się wrażeniu, że to elementarny błąd, który nie powinien występować na taką skalę.
Szczególnie ryzykowne są aplikacje zbierające informacje finansowe i dane geolokalizacyjne. Wiele usług fitness łączy płatne funkcje i dostęp do danych płatniczych użytkowników z jednoczesnym śledzeniem tras treningów i ruchu, co w praktyce może sprzyjać inwigilacji i kradzieży danych. Połączenie pieniędzy i danych o przemieszczaniu się to mieszanka wyjątkowo zapalna.
Aby podnieść poziom bezpieczeństwa, eksperci radzą nie podłączać kart bankowych do aplikacji, włączyć uwierzytelnianie dwuskładnikowe, na bieżąco instalować aktualizacje oraz uważnie sprawdzać uprawnienia wymagane przy instalacji. Zalecają też pobieranie aplikacji wyłącznie z oficjalnych źródeł. Proste kroki — a znaczą wiele, gdy zawodzi podstawa.