19.01.2018

Безопасное фитнес-приложение: без риска для здоровья и кошелька

Добавить в закладки
Масштабное исследование мобильных приложений для фитнеса Роскачество провело совместно с Федерацией фитнес-аэробики и Group-IB, международной компанией, специализирующейся на предотвращении кибератак и разработке продуктов для информационной безопасности. Для всестороннего анализа, помимо функциональных возможностей, оценивался аспект информационной безопасности. Как оценить и усилить информационную безопасность приложения? Читайте далее советы от Group-IB.
Справочно:

Согласно данным компании research2guidance, к 2020 году рынок фитнес-приложений вырастет на 210% — с нынешних $10 млрд до $31 млрд. Специалисты прогнозируют, что в ближайшее время «персональный тренер в смартфоне» заменит реальных тренеров в спортзале и на улице.

Напомним, в ходе исследования эксперты Роскачества, Федерации фитнес-аэробики и Group-IB оценили около 60 приложений, доступных в российском сегменте магазинов App Store и Google Play. Методика исследования включала 109 критериев. 
Большинство изученных приложений содержали базы упражнений и планы тренировок на разные группы мышц, наглядные инструкции и советы по выполнению упражнений. Однако, как выяснили специалисты, не все они безопасны, как с точки зрения представленных техник выполнения упражнений, так и с точки зрения информационной безопасности. 

«Основные ошибки, которые мы встречали, это неправильные или недостаточные с точки зрения биомеханики рекомендации по технике выполнения упражнений, — говорит Андрей Шишков, менеджер по развитию Федерации фитнес-аэробики России. — Очень часто встречается некорректная демонстрация техники на картинке или в видеоролике. Потенциально это при регулярном повторении упражнений может привести к травмам».
Например, очень схематичные ненаучные анимации даны в приложении Streaks Workout и «Seven – Марафон семиминутных тренировок» или демонстрация упражнений в виде одной-двух картинок, из которых новичкам сложно сделать вывод о том, как правильно делать упражнения, в приложении GymUp.

В процессе исследования выяснилось, что не все приложения одинаково безопасны и с точки зрения защиты личных данных от компрометации.
Специалисты направления Аудита и консалтинга компании Group-IB консультировали экспертов Роскачества относительно методики проверки мобильных приложений на наличие уязвимостей, которые могут быть использованы для внедрения вредоносных программ, способных шпионить за владельцем смартфона или перехватывать контроль над содержимым устройства, что может быть использовано  злоумышленниками, в том числе, для похищения денег со счетов пользователей. 

Андрей Брызгин, руководитель направления Аудит и Консалтинг Group-IB, отмечает: «Фитнес-приложения – это тренд в области здорового образа жизни, ими пользуются и те, кто предпочитает легкие пробежки по выходным, и завсегдатаи спортзалов. Но мало кто задумывается о том, что мобильные фитнес-помощники собирают важную информацию о своем владельце: о его здоровье, активности, привычках, физических параметрах. Причём, часть этих сведений вносит пользователь, другая же существенная часть накапливается приложением самостоятельно на основе корреляций больших объёмов данных, включая показания датчиков мобильного устройства.
Таким образом, внутри приложения и в инфраструктуре разработчика оказывается информация о перемещениях пользователя, времени сна и бодрствования, в некоторых случаях приложения получают возможность взаимодействовать с такими каналами коммуникации как соцсети, мессенджеры».
Риск для пользователя может представлять и отсутствие элементарных механизмов информационной безопасности приложений. Это может привести к тому, что именно фитнес-приложение может оказаться «слабым звеном» в системе защиты и стать точкой компрометации мобильного устройства в целом или средством воздействия на другие более критичные приложения (например, мобильный банкинг, сервисы онлайн-платежей и покупок).


«Если вы хотите, чтобы информация, собираемая мобильным приложением, была доступна только вам, следует уделять внимание как надёжности хранения этих данных на смартфоне, так и безопасности передачи данных с устройства в сервис, – продолжает Брызгин.
Приложение должно иметь функциональность аутентификации, в том числе, с использованием биометрии, а также стандартизированный механизм оплаты, если таковой предполагается.
Это важно, поскольку некоторые программисты, особенно под платформу Android пытаются реализовать функции оплаты самостоятельно, забывая, что они уже созданы держателями платформы, поддерживаются и регулярно обновляются, что делает их заведомо более безопасными. Надежность «самописных» способов платежа – всегда под вопросом. Добавлю также, что функции безопасности фитнес-приложений не должны быть избыточными и не должны мешать удобному и комфортному использованию»

Как оценить и усилить информационную безопасность приложения? Советы от Group-IB:
  1. Вы всегда должны иметь возможность удалять и модифицировать персональные данные в вашем приложении.
  2. Приложение должно «спрашивать» вас о любых действиях с доступом к сторонним программам, вашим данным (фото, видео, локация). Не устанавливайте разрешение по умолчанию: приложение должно запрашивать эту возможность каждый раз.
  3. Приложение должно содержать политику конфиденциальности. Изучите ее и обратите внимание на пункты, связанные с использованием разработчиком/владельцем сервиса ваших персональных данных.
  4. Выберите ручные настройки синхронизации.
  5. Исключите возможность делиться данными из приложения в социальных сетях в автоматическом режиме.
  6. Доверяйте только тем приложениям, которые используют стандартизированные (а значит регулярно обновляемые, поддерживаемые и безопасные) сервисы оплаты внутри приложения.
  7. Если приложение предполагает ввод пароля/СМС-пароль/авторизацию с использованием биометрии – не игнорируйте этот этап и включите эту опцию.


О компании Group-IB

Group-IB – международная компания по предотвращению кибератак. За 14 лет расследований сложных инцидентов эксперты компании накопили уникальную базу знаний и выстроили глобальную инфраструктуру мониторинга кибер-угроз — Threat Intelligence. Эта система признана Gartner, Forrester и IDC и лежит в основе линейки продуктов для защиты от вторжений, противодействия онлайн-мошенничеству, защиты интеллектуальной собственности. Компания – постоянный член Всемирного экономического форума.


По результатам исследования фитнес-приложений составлен рейтинг, которым можно пользоваться при выборе карманного помощника для тренировок: «7 приложений для iOS, получивших самую высокую суммарную оценку после проверки по 109 параметрам».

С полными результатами исследования Роскачества фитнес-приложений и выводами экспертов можно ознакомиться здесь.

0 комментариев
Наверх

Samsung Galaxy Note 8 (SM-N950F/DS) добавлен к сравнению Всего в списке 3 товара