AppSec Solutions a găsit 1.300+ vulnerabilități în aplicațiile de sănătate și fitness: stocare nesigură a parolelor, tokenurilor și riscuri financiare de locație.
© RusPhotoBank
AppSec Solutions a derulat un audit de amploare asupra a aproximativ o sută de aplicații mobile populare de sănătate și fitness. Tabloul este greu de ignorat: analiștii au identificat peste 1.300 de vulnerabilități, dintre care 450 încadrate ca fiind critice sau cu severitate ridicată.
În centrul problemei stă stocarea nesigură a datelor sensibile — parole, tokenuri de acces și detalii personale — lăsate chiar în codul sursă al aplicațiilor. O astfel de practică coboară pragul pentru atacatori, deschizându-le accesul atât la mecanismele interne ale serviciilor, cât și la datele utilizatorilor. E genul de scăpare elementară care, la această scară, nu ar trebui să existe.
Deosebit de riscante sunt aplicațiile care adună informații financiare și de geolocalizare. Multe servicii de fitness combină funcții cu plată și acces la datele de plată ale utilizatorilor, în timp ce urmăresc traseele și mișcările antrenamentelor — o combinație ce poate facilita supravegherea și furtul de date. Alăturarea dintre bani și date despre deplasări e, prin natura ei, un amestec exploziv.
Pentru mai multă siguranță, experții îi îndeamnă pe utilizatori să nu-și lege cardurile bancare de aplicații, să activeze autentificarea în doi pași, să își mențină software-ul la zi și să verifice cu atenție permisiunile cerute la instalare. Recomandă, de asemenea, descărcarea aplicațiilor doar din surse oficiale. Sunt pași simpli, dar cu greutate atunci când fundația se dovedește șubredă.