Ловушки фитнес-приложений. Как обезопасить свои данные - IT Speaker, новости информационных технологий

Ловушки фитнес-приложений. Как обезопасить свои данные

Наташа Аксенова

10:13 / 18 июля 2023

Фотография unsplash

Информация о здоровье и физических показателях – важнейшие персональные сведения, которые могут хранить смартфоны. Огромное множество сервисов предлагают удобные способы следить за своим самочувствием, качеством сна, составлять рацион питания и развивать личные показатели. Однако даже крупные игроки индустрии неоднократно подвергали опасности жизни своей аудитории, организуя недостаточно качественный уровень безопасности данных. Редакция IT Speaker узнала у экспертов в области права и кибербезопасности, на какие риски идут пользователи, соглашаясь с политикой использования приложением ваших персональных данных. 

Вредный спорт

Одна из самых крупных в истории утечек данных пользователей фитнес-приложения My Fitness Pal произошла в 2018 году. В даркнете появились ники, адреса электронной почты и пароли клиентов. Компания обнаружила проблему только спустя месяц после утечки. На фоне инцидента акции бренда спортивной экипировки Under Armour, который владел фитнес-приложением, упали на 4,6%. Спустя два года компания решила продать сервис за $345 млн — на  $130 млн дешевле, чем при покупке в 2015 году.

В 2018 году также стало известно об утечке данных 6 млн пользователей фитнес-приложения PumpUp. Канадский сервис хранил их на сервере Amazon, не защитив паролем. Это позволяло кому угодно просматривать личные и конфиденциальные данные, включая информацию о здоровье, личные сообщения, фотографии профиля, а также город, в котором находится пользователь. Уязвимость обнаружил исследователь безопасности Оливер Хаф и вместе с журналистами уведомил компанию. 

В тот же период специалист по кибербезопасности Боб Дьяченко обнаружил в открытом доступе данные 113,5 млн пользователей программы для занятий спортом FitMetrix. Компания Mindbody, которой принадлежит сервис, хранила три сервера с персональной информацией на Amazon Web Service, но ни один из них не защитила паролем. Каждая запись содержала имена, пол, номера телефонов, фотографии и основные места тренировки. Дьяченко утверждал, что неизвестный мошенник скопировал базу данных и продавал ее за биткоины. 

Медицинские приложения также кажутся не такими безопасными, как может показаться на первый взгляд. В 2020 году британский стартап Babylon Health онлайн-сессий с медработниками, стоимость которого на тот момент превышала $2 млрд, столкнулся с утечкой данных. Ее обнаружил обычный пациент, который получил доступ к десяткам видео частных консультаций с врачами других пациентов. Скриншот экрана с доказательствами он опубликовал в Twitter. Компания заявила, что нарушение было вызвано «программной ошибкой», а не хакерской атакой. 

В 2017-м была раскрыта секретная информация о местонахождении и штатном расписании военных баз и постов США по всему миру фитнес-приложением Strava. Сервис для любителей спорта опубликовал «тепловую карту», которая позволяла отслеживать активность пользователей на популярных беговых маршрутах. Военные аналитики заметили, что карта довольно детально отображает штабы, в том числе в Афганистане, Ираке и Сирии, где пользователями Strava в большинстве случаев являлись иностранные военные. В доказательство аналитик Австралийского института стратегической политики Натан Русер опубликовал в Twitter несколько скриншотов, которые, как он предположил, были регулярными беговыми дорожками рядом с базами в Афганистане. На карте видно, как люди перемещаются по этим участкам, что представляет потенциальную угрозу безопасности военнослужащих.



После скандала со Strava исследовательская группа проанализировала работу других фитнес-приложений, в том числе спортивного трекера Polar Flow, и также смогла получить доступ к секретной информации. Пользователи сервиса как правило включали свои фитнес-трекеры при выходе из дома или работы. Журналисты изучили карту приложения: нашли адреса военных объектов, выбрали треки «спортсменов» поблизости от них, изучили профили и посмотрели, где еще тренируются эти пользователи. Так исследователи нашли домашние адреса офицеров разведки США, составили досье на тысячи военных и отправили данные разработчикам. В компании в свою очередь пообещали закрыть публичную информацию о передвижениях пользователей.

Другой случай с непоправимыми последствиями после использования приложения Strava произошел недавно в России. Об убийстве замначальника городского отдела по мобилизационной работе Станислава Ржицкого в парке Краснодара, где он совершал утреннюю пробежку, стало известно 10 июля. По данным СМИ, преступник мог отслеживать его перемещения с помощью приложения для пробежек:  Ржицкий регулярно делился в соцсетях маршрутами своих забегов. Правоохранители считают, что благодаря этому убийца без труда смог выбрать точку для расправы. Сейчас подозреваемый находится под арестом, свою вину он признал. 

Поставьте галочку

Мир медицины и спорта развивается в том числе в сторону индивидуального подхода к человеку. Индустрия предлагает огромный выбор устройств, помогающих следить за здоровьем и заниматься саморазвитием. Управлять самочувствием учат не только смартфоны, но и умные часы, браслеты, фитнес-трекеры, датчики, весы, зеркала, метаболические анализаторы и даже смарт-гири. Привязанный к компьютеру девайс хранит сохраненные маршруты, результаты тренировок, анализов, чекапов и другую персональную информацию в памяти гаджета или облачном хранилище. Однако даже самые продвинутые пользователи не всегда могут обеспечить стопроцентную безопасность своих данных. 

Эксперт по кибербезопасности «Вебмониторэкса» Екатерина Старостина выделила несколько видов рисков, связанных с нарушением безопасности данных в приложениях. 

– Утечка личных данных иногда возникает из-за ошибок в настройках приложений, которые могут неверно обрабатывать и хранить личные данные пользователя. В таких случаях страдает такая чувствительная информация, как имя, номер телефона, адрес электронной почты и др.

Нарушение конфиденциальности приводит к неправильному использованию или раскрытию информации о состоянии здоровья, физической активности, питании и других важных показателей третьими лицами. 

Недостаточная безопасность может относиться как к передаче данных между устройствами и серверами, так и к хранению данных на сервере. Злоумышленники могут получить доступ к этим данным и использовать их для мошенничества или вредоносных целей.

Ненадлежащая обработка информации может привести к ошибочным диагнозам, рекомендациям и тем самым нанести вред здоровью пользователя.

Недостоверная или неточная информация о симптомах или лечении может ввести пользователя в заблуждение и ухудшить его состояние здоровья.

С точки зрения руководителя отдела продвижения продуктов «Кода Безопасности» Павла Коростелева, в большинстве случаев утечка информации из онлайн-сервисов происходит из-за беспечности самих пользователей. Например, они могут забыть, что их местоположение отправляется в социальные сети автоматически. Кроме того, доступ к конфиденциальной информации злоумышленники могут получить в том случае, если пользователь не соблюдает кибергигиену – использует везде одни и те же слабые пароли или по неосторожности их где-то «засвечивает». 

По его словам, главная «болевая» точка в мире данных – геопозиция, поскольку опытные OSINT-мастера (Open source intelligence – разведка по открытым источникам) с ее помощью могут найти и другую личную информацию о пользователе.

Также геолокацию можно определить, используя технические проблемы, непосредственно связанные с приложениями. Некоторые из них могут непреднамеренно выдавать координаты пользователя.

«К примеру, для клиента Shazam на Android любое приложение могло получить геолокацию пользователя, обратившись к открытому компоненту этого приложения. И приложение Stava тоже не в первый раз «светится» в подобных новостях», – рассказывает гендиректор «Стингрей Технолоджиз» Юрий Шабалин.

Он добавил, что несмотря на то, что производители ОС всячески заботятся о данных пользователей, в том числе о сохранении тайны его расположения, ошибки в продуктах позволяют получать эти сведения в обход внутренних проверок.

Помимо геопозиции, приложения здоровья хранят и другие чувствительные данные, такие как уровень кислорода в крови, сердечный ритм, вес, диагнозы, рекомендации врачей – а это уже врачебная тайна. Утечка подобной информации – прямая угроза для здоровья человека. Такие сведения могут задействовать для организации целенаправленной комплексной атаки. 

«К примеру, зная о проблемах с сердцем, злоумышленники могут позвонить человеку от имени лечащего врача и предложить дорогостоящее лекарство или иным способом попытаться «выманить» у него денежные средства», – предупредил эксперт Шабалин.

Увидимся в суде

Основатель юридической компании «Фортис Фэйбер» Валерий Иванов пояснил, что на сегодняшний день законодательство РФ не обязывает разработчиков приложений предупреждать пользователей об опасности публикации в сеть его местоположения или других данных. Однако подписание пользовательского соглашения, политики обработки персональных данных не снимает с разработчиков никакой ответственности. Указанные документы имеют юридическую силу для обеих сторон с момента присоединения пользователя к их условиям и сообщают ему, что будет происходит с персональными данными при использовании приложения.

Он добавил, что все претензии предъявляются к правообладателю приложения. За утечку персональных данных создателей сервиса могут привлечь к административной ответственности в виде штрафа. В соответствии со статьей 13.11 КоАП РФ компания будет оштрафована при первичном нарушении максимально на 100 тыс. рублей. При повторном нарушении компании могут выписать штраф до 300 тыс. рублей. Пользователи, которым был нанесен вред в результате утечки данных, также могут обратиться в суд с иском за защитой своих прав.  

Иванов отметил, что привлечь виновного к ответственности возможно, даже если у компании-разработчика нет филиала или представительства в России. Если удастся доказать, что деятельность иностранной компании направлена на территорию нашей страны (приложение на русском языке, реклама рассчитана на аудиторию из РФ, обслуживание счета правообладателя приложения осуществляется российским банком), то пользователь такого приложения может обратиться в российский суд для привлечения виновных лиц к ответственности.

Настройки безопасности

Для снижения рисков утечки информации при использовании приложений для спорта и здоровья Екатерина Старостина из «Вебмониторэкса» рекомендует: 

Обновлять и устанавливать последние версии приложений на устройстве. Разработчики часто выпускают обновления, которые исправляют уязвимости и улучшают защиту данных.

– При установке приложений внимательно ознакомиться с запрашиваемыми разрешениями. Если какое-то приложение запрашивает доступ к личным данным или функциям, которые не требуются для его работы, возможно, стоит быть более осторожным.

– Перед использованием приложения следует ознакомиться с его политикой конфиденциальности и убедиться, что персональные данные будут храниться и передаваться безопасным образом. Лучше отключить любые функции или синхронизацию данных, которые считаете ненужными или рискованными.

– Использовать сложные пароли, состоящие из букв, цифр и специальных символов. Также активировать двухфакторную аутентификацию, которая создаст дополнительный уровень защиты.

– Перед установкой приложения рекомендуется ознакомиться с отзывами и рейтингами. Высокие оценки могут указывать на то, что приложение надежно и безопасно.

Вас может заинтересовать: 

В России предложили создать «ОСАГО для ИТ»

Генеральный директор Pro Control Станислав Сидоров советует при использовании приложения для здоровья и спорта вводить минимальное количество личных данных, ведь не все поля, которые предлагается заполнить, являются обязательными.

Павел Коростелев из «Кода Безопасности» считает, что современные приложения для спорта достаточно надежны, а если в них встречаются уязвимости, разработчики стараются их быстро исправить. При этом, добавил эксперт, на эти утечки сам пользователь повлиять никак не может, как бы он ни настраивал приложение. Можно отключить ряд функций – например, запись своей геолокации – но если гаджет имеет выход в интернет, то злоумышленники при желании все равно смогут установить местоположение. 

Чтобы полностью избежать каких-то проблем с конфиденциальностью, Коростелев советует отказаться от любых фитнес-трекеров и приложений здоровья. Альтернативой смарт-браслетам могут быть устройства, которые не агрегируют информацию и не передают ее на смартфон или другой гаджет.

Поделиться новостью