Россиянин нашел уязвимость, позволявшую преследовать людей с часами Garmin Роман Кильдюшкин
Американский производитель умных часов и навигационной техники Garmin устранил уязвимость в приложении для отслеживания физической активности Garmin Connect, которая позволяла похищать все данные пользователей, включая информацию об их перемещениях, что создавало угрозу преследования. Угроза была обнаружена экспертом по информационной безопасности из российской компании Positive Technologies Артемом Кулаковым. Об этом «Газете.Ru» сообщили в пресс-службе Positive Technologies.
Уязвимость потенциально затрагивала владельцев почти 300 моделей устройств Garmin, использующих приложение Garmin Connect на смартфонах под управлением Android. Приложение Garmin Connect является одним из самых востребованных фитнес-сервисов, насчитывая более 10 млн установок из Google Play. Оно синхронизируется с широким спектром носимых устройств Garmin.
В частности, в случае эксплуатации этой уязвимости к нарушителю могли попасть детальные данные о физических параметрах пользователя, включая вес и частоту сердечных сокращений, а также информация о совершенных беговых и велосипедных маршрутах. Эти сведения могли быть использованы для физического преследования, шантажа или для таргетированных рекламных рассылок, основанных на личных показателях.
«Для эксплуатации уязвимости злоумышленнику потребовалось бы заранее написать вредоносное приложение, которое после установки на устройство пользователя перехватило бы данные, собранные Garmin Connect. Чтобы жертва добровольно загрузила вредоносную программу на смартфон, атакующий мог замаскировать ее под игру или любое другое безобидное ПО», – рассказал «Газете.Ru» старший специалист группы исследований безопасности мобильных приложений, Positive Technologies Артем Кулаков.
Проще говоря, чтобы уязвимость в приложении Garmin Connector была задействована, жертва должна была загрузить вредоносное ПО, которое направляло сервису Garmin SQL-запросы. Обмен информации между Garmin Connector и вредоносным ПО происходил бы в рамках взаимодействия сервисов внутри ОС Android.
Garmin была своевременно уведомлена об угрозе в рамках политики ответственного раскрытия информации и уже выпустила соответствующее обновление. Пользователям рекомендуется обновить приложение Garmin Connect до версии 5.18 или новее, чтобы устранить дефект.
Ранее выяснилось, что почти все россияне перестали игнорировать проблему утечки данных.
