Поделиться
Эксперт Positive Technologies помог устранить уязвимость в фитнес-приложении Garmin Connect
Производитель умных часов и навигационной техники Garmin устранил уязвимость в приложении для отслеживания физической активности Garmin Connect, обнаруженную экспертом PT SWARM Артемом Кулаковым. Под угрозой могли оказаться владельцы почти 300 моделей различных устройств компании, установившие программу на смартфон под управлением операционной системы Android. В случае атаки нарушитель мог бы похитить пользовательские данные о здоровье и тренировках. Информация гипотетически могла быть использована для дальнейших противоправных действий, например для компрометации местонахождения жертвы. Об этом CNews сообщили представители Positive Technologies.
Garmin Connect — приложение для фитнеса. Из Google Play его установили более 10 млн пользователей. Приложение поддерживается почти 300 моделями различных устройств Garmin.
Недостатку безопасности PT-2025-41569[1] (BDU:2025-08843) присвоено 6,9 балла по шкале CVSS 4.0. Уязвимость, позволяющая выполнить внедрение SQL-кода[2], затрагивала Garmin Connect версии 5.14. Жертвами злоумышленников могли стать владельцы умных часов, фитнес-браслетов, велокомпьютеров и GPS-навигаторов Garmin.
В случае атаки к нарушителю могли бы попасть данные о физических характеристиках пользователя — от его веса до ритма сердцебиения, а также информация о маршрутах беговых и велотренировок. Полученные сведения злоумышленник смог бы использовать для физического преследования, манипулирования жертвой или ее родными, а также для рассылки рекламных предложений, основанных на параметрах конкретного пользователя.
«Для эксплуатации уязвимости злоумышленнику потребовалось бы заранее написать вредоносное приложение, которое после установки на устройство пользователя перехватило бы данные, собранные Garmin Connect, — сказал Артем Кулаков, старший специалист группы исследований безопасности мобильных приложений, Positive Technologies. — Чтобы жертва добровольно загрузила вредоносную программу на смартфон, атакующий мог замаскировать ее под игру или любое другое безобидное ПО».
Производитель был уведомлен об угрозе в рамках политики ответственного разглашения и выпустил обновление ПО. Чтобы устранить ошибку, следует в кратчайшие сроки обновить приложение до версии 5.18 или выше. Эксперт Positive Technologies также напомнил, что приложения для смартфонов важно скачивать только из официальных магазинов: это снизит риск утечки персональных данных и других неблагоприятных последствий.
Это не первая подобная ошибка, обнаруженная экспертами Positive Technologies. В мае 2025 г. руководитель группы экспертизы отдела анализа защищенности веб-приложений Алексей Соловьев и специалист группы проектов этого отдела Ян Чижевский помогли разработчику закрыть множественные ошибки в отечественной системе управления сайтами NetCat CMS, среди которых также была уязвимость, позволяющая выполнить внедрение SQL-кода (BDU:2024-06394). Ранее, летом 2024 года, Соловьев выявил подобные дефекты безопасности и в системах мониторинга инфраструктуры Pandora FMS (CVE-2023-44090 и CVE-2023-44091) и Cacti — CVE-2023-49085 (BDU:2024-01113). Эксплуатация ошибок во всех трех продуктах потенциально была звеном в цепочке атаки, которая могла бы привести к выполнению произвольного кода на сервере.
Короткая ссылка
