Учёные ведущих университетов провели глубокий анализ десяти из наиболее используемых фитнес-приложений для Android, насчитывающих в общей сложности 237 миллионов установок. Путём статического и динамического анализа кода и серверной коммуникации, они выявили множество тревожных практик, угрожающих конфиденциальности пользовательских данных.
Некоторые из обнаруженных уязвимостей включают встраивание API-ключей непосредственно в приложения, использование неадекватного шифрования (таких как AES в режиме ECB), а также чрезмерную коммуникацию с более чем 230 различными сторонними доменами. Это значительно повышает риски отслеживания активности и утечки личной информации, включая параметры здоровья и данные о тренировках.
Авторы исследования категорически заключают, что без постоянной проверки безопасности и соблюдения современных стандартов, доверие пользователей к мобильным приложениям для здоровья может быстро разрушиться. Они рекомендуют ограничивать предоставляемые разрешения и выбирать только приложения с доказанно безопасной серверной частью.