За последние несколько лет ситуация в сфере приложений для здоровья и фитнеса практически не изменилась: разработчики так и не научились обеспечивать безопасность пользовательских данных.

Согласно исследованию, проведенному компанией Arxan прошедшей осенью, 86% приложений в области здравоохранения и фитнеса содержат по крайней мере две критические уязвимости, а 55% опрошенных предположили, что их «взломают» в течение полугода.

Приложения, специализирующиеся на фитнесе, за последние несколько лет неоднократно становились целью злоумышленников, так как многие разработчики предлагают пользователям ввести личные данные для более корректной работы приложения. Например, баг в приложении MyFitnessPal, обнаруженный несколько лет назад, позволял хакерам похищать информацию из пользовательских профилей. Данная уязвимость давно исправлена, но вектор атаки часто используется злоумышленниками при взломе подобных приложений.

Arxan, технологическая компания из штата Мэриленд, проанализировала 71 приложение, созданное в США, Великобритании, Германии и Японии, и проверила исследованные программы на наличие 10 самых вероятных для мобильных технологий рисков безопасности из списка, составленного участниками проекта Open Web Application Security Project (OWASP). Кроме того, компания опросила 1083 респондента, как пользователей, так и руководителей со стороны разработчиков фитнес-приложений. Результаты исследования опубликованы в отчете State of Application Security Report.

По данным исследования, 97% приложений не имеют защиты от исполнения бинарных файлов, 79% приложений недостаточно защищены на уровне транспортных протоколов, а для 56% приложений характерны утечки данных.

Многие из обнаруженных уязвимостей позволяют производить манипуляции с кодом, что дает злоумышленникам возможность проводить реверс-инжиниринг приложений или похищать пользовательские данные.

Рассуждая о том, какой эффект может иметь низкий уровень безопасности приложений для здоровья и фитнеса, технический директор Arxan Сэм Реман (Sam Rehman) рисует безрадостную картину.

«Представьте себе, что приложение «сливает» конфиденциальную информацию о вашем здоровье или из-за вмешательства злоумышленника врач прописывает пациенту смертельно опасную дозу лекарства», — комментирует результаты исследования Реман.

В отчете не указано, какие именно приложения были проанализированы в ходе исследования, но авторы отметили, что 19 из проверенных приложений были одобрены Управлением по контролю за продуктами и лекарствами США, а 15 — Национальной службой здравоохранения Великобритании.

Учитывая бурный рост рынка носимых устройств, Федеральная торговая комиссия США почти два года назад провела исследование 12 приложений в области здравоохранения. Приложения, участвовавшие в обзоре, отправляли данные о пользователе в общей сложности 76 сторонним организациям. Некоторые передавали информацию о циклах сна, питании и даже о маршрутах во время пробежки. Четыре приложения из выборки вообще никак не обеспечивали приватность информации.

Пока вопросы безопасности и приватности в подобных приложениях не решены, последние будут оставаться под пристальным наблюдением ФТК; за последние годы комиссия уже рассмотрела ряд жалоб на разработчиков. Gartner прогнозирует, что к 2020 году на рынок выйдет около 1,4 млрд устройств для здравоохранения и фитнеса — на 300 млн больше, чем в прошлом году. Таким образом, количество жалоб на недостаточное обеспечение безопасности может только увеличиться.

Категории: Аналитика, Главное, Уязвимости