le Galerie Fitbit est un guichet unique pour les applications Fitbit approuvées, comme Spotify ou Carte Starbucks. Et tandis que Fitbit analyse manuellement toutes les applications de la Galerie publiées à la recherche de logiciels malveillants, les applications «privées» partageables ne bénéficient pas du même traitement. Si quelqu'un vous envoie par e-mail un lien de téléchargement pour une application Fitbit, ignorez-le!

Fitbit permet aux développeurs de télécharger des applications «privées» dans la Galerie pour faciliter les tests. Malheureusement, toute personne disposant d'un lien de téléchargement peut installer une application privée. Les mauvais acteurs peuvent partager un lien de téléchargement privé pour diffuser des logiciels malveillants de collecte de données, une menace identifiée par Kevin Breen et médiatisée par BleepingOrdinateur.

Kevin Breen, directeur de la recherche sur les menaces chez Laboratoires immersifs, a téléchargé avec succès une application privée malveillante dans la Galerie et l'a utilisée pour voler des données de localisation GPS, de fréquence cardiaque, de hauteur et d'âge à partir d'appareils de test. Sur Android, l'application malveillante peut également lire tous les calendriers connectés au Fitbit. Breen pourrait même configurer l'application pour analyser et accéder aux outils réseau tels que les routeurs et les pare-feu, grâce à l'API Fitbit fetch.

Heureusement, Kevin Breen a soumis ses recherches à la société Fitbit, qui a répondu en ajoutant des avertissements aux téléchargements d'applications privées. Fitbit prévoit également de désactiver les autorisations des applications privées par défaut, donnant aux utilisateurs le choix de fournir manuellement l'accès à leur âge, à leurs contacts et à d'autres informations. Comme toujours, Fitbit scanne les applications de la Galerie à la recherche de code malveillant avant leur publication sur la page publique de la Galerie.

Source: Kevin Breen via BleepingOrdinateur