Эксперт Positive Technologies помог устранить уязвимость в фитнес-приложении Garmin Connect

Garmin Connect — одно из самых популярных приложений для фитнеса. Из Google Play его установили более 10 млн пользователей. Приложение поддерживается почти 300 моделями различных устройств Garmin.

Недостатку безопасности PT-2025-41569[1] (BDU:2025-08843) присвоено 6,9 балла по шкале CVSS 4.0. Уязвимость, позволяющая выполнить внедрение SQL-кода[2], затрагивала Garmin Connect версии 5.14. Жертвами злоумышленников могли стать владельцы умных часов, фитнес-браслетов, велокомпьютеров и GPS-навигаторов Garmin.

В случае атаки к нарушителю могли бы попасть данные о физических характеристиках пользователя — от его веса до ритма сердцебиения, а также информация о маршрутах беговых и велотренировок. Полученные сведения злоумышленник смог бы использовать для физического преследования, манипулирования жертвой или ее родными, а также для рассылки рекламных предложений, основанных на параметрах конкретного пользователя.

«Для эксплуатации уязвимости злоумышленнику потребовалось бы заранее написать вредоносное приложение, которое после установки на устройство пользователя перехватило бы данные, собранные Garmin Connect, — отмечает Артем Кулаков, старший специалист группы исследований безопасности мобильных приложений, Positive Technologies. — Чтобы жертва добровольно загрузила вредоносную программу на смартфон, атакующий мог замаскировать ее под игру или любое другое безобидное ПО».

Производитель был уведомлен об угрозе в рамках политики ответственного разглашения и выпустил обновление ПО. Чтобы устранить ошибку, следует в кратчайшие сроки обновить приложение до версии 5.18 или выше. Эксперт Positive Technologies также напомнил, что приложения для смартфонов важно скачивать только из официальных магазинов: это снизит риск утечки персональных данных и других неблагоприятных последствий.

Это не первая подобная ошибка, обнаруженная экспертами Positive Technologies. В мае 2025 года руководитель группы экспертизы отдела анализа защищенности веб-приложений Алексей Соловьев и специалист группы проектов этого отдела Ян Чижевский помогли разработчику закрыть множественные ошибки в отечественной системе управления сайтами NetCat CMS, среди которых также была уязвимость, позволяющая выполнить внедрение SQL-кода (BDU:2024-06394). Ранее, летом 2024 года, Соловьев выявил подобные дефекты безопасности и в системах мониторинга инфраструктуры Pandora FMS (CVE-2023-44090 и CVE-2023-44091) и Cacti — CVE-2023-49085 (BDU:2024-01113). Эксплуатация ошибок во всех трех продуктах потенциально была звеном в цепочке атаки, которая могла бы привести к выполнению произвольного кода на сервере.

Обнаруживать ошибки, связанные с внедрением SQL-кода, можно еще на стадии разработки продукта — с помощью статического анализатора кода, такого как PT Application Inspector.

Быть в курсе актуальных недостатков безопасности можно на портале dbugs, где аккумулируются данные об уязвимостях в ПО и оборудовании производителей со всего мира, а также рекомендации вендоров по их устранению.

[1] Недостаток безопасности зарегистрирован на портале dbugs, на котором аккумулируются данные об уязвимостях в программном обеспечении и оборудовании производителей со всего мира.

[2] Дефект безопасности, позволяющий нарушителю использовать фрагмент вредоносного кода на языке структурированных запросов (SQL) для получения доступа к данным.