АНО «Российская система качества» (Роскачество) совместно с Федерацией фитнес-аэробики и Group-IB , международной компанией, специализирующейся на предотвращении кибератак и разработке продуктов для информационной безопасности, провели масштабное исследование мобильных приложений для фитнеса. Для всестороннего анализа, помимо функциональных возможностей, оценивался аспект информационной безопасности.
Согласно данным компании research2guidance, к 2020 году рынок фитнес-приложений вырастет на 210% — с нынешних $10 млрд до $31 млрд. Специалисты прогнозируют, что в ближайшее время «персональный тренер в смартфоне» заменит реальных тренеров в спортзале и на улице. В ходе исследования эксперты Роскачества, Федерации фитнес-аэробики и Group-IB оценили около 60 приложений, доступных в российском сегменте магазинов App Store и Google Play. Методика исследования включала 109 критериев, из которых 62 относятся к функциональности.
Большинство изученных приложений содержали базы упражнений и планы тренировок на разные группы мышц, наглядные инструкции и советы по выполнению упражнений. Однако, как выяснили специалисты, не все они безопасны, как с точки зрения представленных техник выполнения упражнений, так и с точки зрения информационной безопасности.
Основные ошибки, которые мы встречали, это неправильные или недостаточные с точки зрения биомеханики рекомендации по технике выполнения упражнений, — говорит. Очень часто встречается некорректная демонстрация техники на картинке или в видеоролике. Потенциально это при регулярном повторении упражнений может привести к травмам.
менеджер по развитию Федерации фитнес-аэробики России
Например, очень схематичные ненаучные анимации даны в приложении Streaks Workout и «Seven — Марафон семиминутных тренировок» или демонстрация упражнений в виде одной-двух картинок, из которых новичкам сложно сделать вывод о том, как правильно делать упражнения, в приложении GymUp.
В процессе исследования выяснилось, что не все приложения одинаково безопасны и с точки зрения защиты личных данных от компрометации. Специалисты направления Аудита и консалтинга компании Group-IB консультировали экспертов Роскачества относительно методики проверки мобильных приложений на наличие уязвимостей, которые могут быть использованы для внедрения вредоносных программ, способных шпионить за владельцем смартфона или перехватывать контроль над содержимым устройства, что может быть использовано злоумышленниками, в том числе, для похищения денег со счетов пользователей.
Фитнес-приложения — это тренд в области здорового образа жизни, ими пользуются и те, кто предпочитает легкие пробежки по выходным, и завсегдатаи спортзалов. Но мало кто задумывается о том, что мобильные фитнес-помощники собирают важную информацию о своем владельце: о его здоровье, активности, привычках, физических параметрах. Причём, часть этих сведений вносит пользователь, другая же существенная часть накапливается приложением самостоятельно на основе корреляций больших объёмов данных, включая показания датчиков мобильного устройства. Таким образом, внутри приложения и в инфраструктуре разработчика оказывается информация о перемещениях пользователя, времени сна и бодрствования, в некоторых случаях приложения получают возможность взаимодействовать с такими каналами коммуникации как соцсети, мессенджеры.
Руководитель направления Аудит и Консалтинг Group-IB
Риск для пользователя может представлять и отсутствие элементарных механизмов информационной безопасности приложений. Это может привести к тому, что именно фитнес-приложение, может оказаться «слабым звеном» в системе защиты и стать точкой компрометации мобильного устройства в целом или средством воздействия на другие более критичные приложения (например, мобильный банкинг, сервисы онлайн-платежей и покупок).
Если вы хотите, чтобы информация, собираемая мобильным приложением, была доступна только вам, следует уделять внимание как надёжности хранения этих данных на смартфоне, так и безопасности передачи данных с устройства в сервис. Приложение должно иметь функциональность аутентификации, в том числе, с использованием биометрии, а также стандартизированный механизм оплаты, если таковой предполагается. Это важно, поскольку некоторые программисты, особенно под платформу Android пытаются реализовать функции оплаты самостоятельно, забывая, что они уже созданы держателями платформы, поддерживаются и регулярно обновляются, что делает их заведомо более безопасными. Надежность „самописных“ способов платежа — всегда под вопросом. Добавлю также, что функции безопасности фитнес-приложений не должны быть избыточными и не должны мешать удобному и комфортному использованию.
Руководитель направления Аудит и Консалтинг Group-IB
В итоге, по мнению экспертов, лучшими фитнес-приложениями были признаны:
По результатам исследования фитнес-приложений составлен рейтинг, которым можно пользоваться при выборе карманного помощника для тренировок «7 приложений для iOS, получивших самую высокую суммарную оценку после проверки по 109 параметрам». С полными результатами исследования Роскачества фитнес-приложений и выводами экспертов можно ознакомиться здесь.
F6 — ведущий разработчик технологий для борьбы с киберпреступностью, предотвращения и расследования киберпреступлений в России и за рубежом. Флагманские продукты F6 основаны на знаниях, полученных в ходе многолетних реагирований на инциденты и исследований киберпреступности.
Решения компании F6 обеспечивают защиту от киберрисков, связанных с целевыми атаками, утечками данных, мошенничеством, фишингом, нелегальным использованием бренда. Продукты F6 входят в реестр отечественного ПО.
Компания F6 создана при поддержке фонда развития результативной кибербезопасности Сайберус.
Узнайте первыми о новейших киберугрозах и наших расследованиях
Мы используем cookie-файлы для улучшения качества работы, в том числе удобства использования веб-сайта и оказываемых нами услуг. Также мы обрабатываем cookie-файлы для проведения аналитических исследований. Вы можете запретить сохранение cookie-файлов в настройках своего браузера. Продолжая использование сайта, вы соглашаетесь с Политикой обработки персональных данных и с Пользовательским соглашением
Кейс ювелирного ритейлера 585 GOLD и F6 ASM:
