Приложение для фитнеса на iOS — Fitify — раскрыло доступ к 138 тысячам личных фотографий пользователей.

Приложение для фитнеса на iOS — Fitify — раскрыло доступ к 138 тысячам личных фотографий пользователей.

В публично доступном облачном хранилище Google компании Fitify были раскрыты сотни тысяч файлов. Среди них оказались фотографии, загруженные пользователями для отслеживания изменений их тела с течением времени. После того как Cybernews связался с компанией, незащищённое хранилище было закрыто.

iOS фитнес-приложение Fitify раскрыло 138 тыс. личных фотографий пользователей: основные выводы

  • Fitify раскрыло 373 тыс. файлов, включая 138 тыс. фотографий, через незащищённое облачное хранилище Google.
  • Фотографии часто показывали минимальное количество одежды, что делало их раскрытие особенно чувствительным для пользователей.
  • Доступ к личным данным пользователей был возможен без паролей или защитных ключей.
  • Приложение содержало жёстко запрограммированные секреты, которые могли позволить злоумышленникам получить доступ к дополнительным данным пользователей.

К сожалению, загрузка медиафайлов в интернет всегда сопряжена с рисками, даже если получатель — надёжный поставщик. На примере Fitify, популярного фитнес-приложения с более чем 10 миллионами загрузок из Google Play и примерно 25 миллионами установок на всех платформах, можно увидеть, как это может обернуться.

В начале мая команда Cybernews обнаружила принадлежащее Fitify и публично доступное облачное хранилище Google. Хотя большинство файлов в незащищённом хранилище были планами тренировок и инструкционными видео, исследователи также заметили фотографии, которые пользователи делились с “AI тренером” приложения и свои сканы тела.

Приложение Fitify утекли фотографии пользователей

Целевая аудитория приложения — пользователи, стремящиеся похудеть, обрести форму или улучшить своё тело. Сканы тела позволяют отслеживать изменения с течением времени, пока пользователи Fitify занимаются спортом или придерживаются диеты, согласно их фитнес-плану. В описании Fitify в Google App Store ясно говорится, что “данные шифруются при передаче”, что должно внушать пользователям уверенность в том, что их личные фотографии не будут раскрыты.

Однако команда Cybernews и любой другой человек могли получить доступ к облачному хранилищу без каких-либо паролей или ключей безопасности.

“Стоит также отметить, что 'фотографии прогресса' и 'сканы тела' часто делают с минимальным количеством одежды, чтобы лучше показать прогресс в потере веса и росте мышц. Поэтому большинство утекших изображений могут быть теми, которые пользователи обычно предпочли бы хранить в тайне и не делиться ими в интернете,” отметила команда.

Компания Fitify Workouts, стоящая за приложением, отреагировала после обращения исследователей Cybernews и закрыла открытое хранилище, убрав его с публичного доступа.

Журналисты Cybernews обратились в компанию за официальным комментарием и обновят статью, когда получат ответ.

Каков масштаб утечки данных Fitify?

Сейчас закрытое облачное хранилище Google содержало в общей сложности 373 тыс. файлов. Из них 206 тыс. были фотографиями профилей пользователей, а ещё 138 тыс. были обозначены как фотографии прогресса. Тринадцать тысяч файлов были отправлены через сообщения AI тренера приложения, и ещё 6 тыс. были обозначены как данные “Сканирования тела”, включая изображения и метаданные AI.

Функция сканирования тела позволяет пользователям создавать 3D-скан своего тела, предоставляя детальный анализ их мышечной массы, жировой массы, осанки и других аспектов, которые они могут захотеть улучшить или отслеживать.

“Утечка показывает, что применённые приложением меры контроля доступа были недостаточны для защиты данных пользователей, и тот факт, что эти данные могли быть доступны любому без каких-либо паролей или ключей, демонстрирует, что данные пользователей не были зашифрованы на месте,” объяснила команда.

После обнаружения открытого хранилища исследователи проверили, включено ли имя Fitify в случайно выбранный набор данных, который команда использовала для исследования безопасности приложений в Apple App Store.

Исследователи Cybernews скачали 156 тыс. iOS-приложений, примерно 8% всех приложений в Apple App Store, и обнаружили, что разработчики часто оставляют текстовые учётные данные в коде приложений, доступные любому.

Выводы показали, что 71% проанализированных приложений утечают хотя бы один секрет, при этом средний код приложения раскрывает 5,2 секрета. Оказалось, что Fitify не стало исключением.

“После изучения раскрытых секретов мы обнаружили учётные данные, которые потенциально могут быть использованы для доступа к ещё большему объёму данных клиентов и инфраструктуре приложения,” объяснила команда.

“Также выяснилось, что неправильно настроенные меры контроля доступа к облачному хранилищу были не единственной ошибкой, допущенной разработчиками приложения, так как многочисленные ключи API и чувствительные точки доступа также были жёстко закодированы в интерфейсе приложения.”

Какие жёстко закодированные секреты раскрыло приложение Fitify?

Разработчики кодируют секреты по многим причинам. Хотя иногда это необходимо для правильного функционирования приложения, некоторые секреты и ключи не должны оставаться доступными, так как они позволяют злоумышленникам проникнуть в приложение и потенциально получить доступ к личным данным пользователей.

Исследовательская группа отметила различные типы секретов между средами разработки и эксплуатации. Среда разработки Fitify имела следующие раскрытые жёстко закодированные секреты:

  • Идентификатор клиента Android
  • Идентификатор клиента Google
  • Ключ API Google
  • URL Firebase
  • Идентификатор приложения Google
  • Идентификатор проекта
  • Хранилище

Злоумышленники могли использовать идентификаторы и ключи для доступа к компонентам инфраструктуры Google и Firebase, собирать информацию и затем проникать в приложение, потенциально получая доступ к чувствительным данным пользователей.

Например, раскрытие идентификатора клиента Google и идентификатора клиента Android могло позволить злоумышленникам выдавать себя за законные экземпляры приложения, потенциально получая доступ к учётным записям пользователей. В то же время хранилище могло позволить злоумышленникам внедрять вредоносные файлы или изменять существующий контент.

Между тем, в производственной среде Fitify были следующие жёстко закодированные секреты:

  • Идентификатор клиента Android
  • Идентификатор клиента Google
  • Ключ API Google
  • URL Firebase
  • Идентификатор приложения Google
  • Идентификатор проекта
  • Хранилище
  • Идентификатор приложения Facebook
  • Токен клиента Facebook
  • Динамические пользовательские домены Firebase
  • Ключ API Algolia

В сочетании с ранее утекшей информацией, жёстко закодированные секреты могут позволить злоумышленникам получить доступ к данным социальных сетей пользователей через Fitify. В сочетании с учётными данными Google это создаёт множество векторов атак для сценариев, затрагивающих как данные о фитнесе, так и профили в социальных сетях.

Наши исследователи отмечают, что ключ API Algolia является одним из менее часто утекших секретов. Algolia предоставляет программное обеспечение и инструменты, которые позволяют компаниям внедрять быстрый веб-поиск для индивидуальных веб-сайтов. Исследовательская группа не тестировала утекший ключ API, поэтому неясно, какие данные хранит база данных.

Как исправить утечки в приложениях?

Наши исследователи считают, что для эффективного смягчения проблемы лучше всего сосредоточиться на отдельно раскрытых инстанциях и жёстко закодированных секретах.

Для исправления проблем, связанных с облачным хранилищем, команда советует:

  • Настроить встроенные функции аутентификации облачных хранилищ, чтобы ограничить доступ только для сотрудников и систем, которые должны иметь доступ к хранимым данным.

Между тем, чтобы предотвратить попадание секретов приложений в чужие руки, команда советует следующее:

  • Утекшие учётные данные нужно отозвать.
  • Новые учётные данные должны быть сгенерированы и надёжно храниться на серверах, контролируемых компанией.
  • Настройки контроля доступа необходимо пересмотреть для раскрытых точек доступа.
  • Рекомендуется провести аудит, чтобы определить, были ли эти уязвимости и неправильные конфигурации использованы злоумышленниками.
  • Приложение должно быть обновлено для совместимости с новой, более безопасной инфраструктурой.
Оставить коментарий
Комментарий:
Комментарии
  1. user

    Очень тревожная ситуация с Fitify. Надеюсь, они быстро примут меры для улучшения безопасности. Это напоминает о важности защиты личных данных в цифровом мире. Все приложения должны уделять этому больше внимания.

  2. user

    Как пользователь Fitify, я шокирован утечкой. Это серьёзный удар по доверию. Надеюсь, компания возьмёт на себя ответственность и сделает всё возможное, чтобы предотвратить подобные случаи в будущем.

  3. user

    Проблема утечек данных в приложениях становится всё более актуальной. Разработчики должны уделять больше внимания безопасности. Надеюсь, что Fitify извлечёт уроки из этой ситуации и улучшит свои практики.