Умные часы Garmin подвергли пользователей риску слежки

В приложении Garmin Connect, которое синхронизируется с умными часами и фитнес-трекерами американского производителя Garmin, была обнаружена критическая уязвимость. Она позволяла злоумышленникам получить полный доступ к личным данным пользователей, включая конфиденциальную информацию об их местоположении и перемещениях, что создавало реальную угрозу физического преследования. Она была выявлена экспертом по кибербезопасности Артемом Кулаковым из российской компании Positive Technologies.

Потенциально уязвимость затронула владельцев около 300 моделей устройств Garmin, использующих приложение на смартфонах с операционной системой Android. Garmin Connect является одним из самых популярных фитнес-сервисов с более чем 10 миллионами установок через Google Play и работает с широким спектром носимых устройств компании.

В случае успешной атаки злоумышленники могли получить детальную информацию о физическом состоянии пользователя, такую как вес и частота сердечных сокращений, а также полную историю его беговых и велосипедных маршрутов. Эти данные могли быть использованы для шантажа, организации преследования или для создания таргетированной рекламы, основанной на личных медицинских показателях, сообщает «Газета.Ru».

Для эксплуатации уязвимости злоумышленнику было необходимо создать вредоносное приложение, которое после установки на устройство жертвы перехватывало бы данные из Garmin Connect. Чтобы убедить пользователя загрузить такую программу, она могла быть замаскирована под безобидную игру или полезный софт. Как пояснил эксперт, атака происходила бы путем отправки вредоносным приложением специальных SQL-запросов к сервису Garmin, а обмен данными осуществлялся бы в рамках механизма взаимодействия между службами внутри операционной системы Android.

Производитель Garmin был своевременно уведомлен об угрозе в соответствии с политикой ответственного раскрытия информации и оперативно выпустил патч, устраняющий опасный дефект. Для обеспечения безопасности разработчик настоятельно рекомендует всем пользователям обновить приложение Garmin Connect до версии 5.18 или более новой.

Ранее корпорация Google согласилась выплатить $30 миллионов (более 2,4 млрд рублей) для урегулирования масштабного коллективного иска. Компанию обвиняли в нарушении конфиденциальности детей на ее видеоплатформе YouTube.