- Специальный корреспондент
Fitify, известное фитнес-приложение с внушительной аудиторией, превышающей 10 миллионов установок в Google Play и 25 миллионов загрузок на различных платформах, столкнулось с серьёзными проблемами из-за утечки конфиденциальных изображений пользователей. Специалисты Cybernews обнаружили, что облачное хранилище Google, принадлежащее Fitify, оказалось открытым для публичного доступа и содержало огромное количество файлов, включая фотографии, документирующие прогресс пользователей в тренировках.
Этот инцидент был выявлен в начале мая 2025 года. Хранилище не было защищено паролем или каким-либо ключом доступа, что предоставляло неограниченный доступ к личным данным. Внутри 373 тысяч файлов были обнаружены примерно 206 тысяч пользовательских аватаров, 138 тысяч снимков, отражающих изменения в теле, и 6 тысяч 3D-моделей тел, сопровождаемых метаданными, используемыми для анализа состава тела и осанки. Кроме того, было найдено 13 тысяч файлов, связанных с общением с ИИ-тренером.
Особую тревогу вызвал тот факт, что многие фотографии прогресса и телесканы были сделаны в откровенной одежде или без неё, что является распространённой практикой для отслеживания результатов тренировок. Предполагалось, что эти снимки будут строго конфиденциальными, и Fitify в описании в Google Play заявляла об их защите шифрованием при передаче данных. Однако отсутствие защиты на уровне хранения свело на нет все обещания о конфиденциальности.
После того, как Cybernews прислали уведомление, команда Fitify Workouts оперативно ограничила доступ к хранилищу и исправила уязвимость, закрыв посторонним доступ к файлам. Несмотря на быструю реакцию, инцидент обнажил другие поводы для беспокойства. Эксперты нашли в коде приложения "вшитые" ключи и секретные данные, которые могли быть использованы злоумышленниками для несанкционированного доступа к внутренним системам и личной информации пользователей.
Секретные данные были обнаружены как в тестовой, так и в рабочей версиях приложения. Среди них: клиентские идентификаторы для Android и Google, API-ключи, ссылки на Firebase, идентификатор проекта, хранилище данных, а в рабочей версии – ключи и токены Facebook*, динамические домены Firebase и даже ключ Algolia. Примечательно, что последний не упоминается в политике конфиденциальности приложения, хотя сервис Algolia не предусматривает локальное размещение, и вся информация хранится на удалённых серверах.
Наличие этих данных в открытом доступе создаёт множество потенциальных векторов атак, включая возможность создания поддельных приложений, манипулирования контентом пользователей и даже утечку данных из социальных сетей.
Авторы расследования отметили, что Fitify, хотя и сообщает об используемых сторонних сервисах, недостаточно информирует пользователей о рисках, связанных с их применением. Ситуация усугубляется тем, что среди 156 тысяч iOS-приложений, проанализированных Cybernews, около 71% содержали как минимум один открытый секрет в коде, и Fitify оказался в их числе.
Для предотвращения аналогичных инцидентов эксперты советуют настроить надёжные механизмы аутентификации для облачных хранилищ, ограничив доступ только авторизованным лицам и системам. Также крайне важно аннулировать скомпрометированные ключи, сгенерировать новые и обновить приложение, внедрив более надёжную инфраструктуру безопасности. Необходим аудит на предмет возможных злоупотреблений, связанных с обнаруженными уязвимостями.
- Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ
