— Дорогой, где ты был? — Бегал. — Странно, но твой пульс был в норме… Эксперт PT SWARM Артем Кулаков помог устранить уязвимость в Garmin Connect — одном из самых популярных приложений для фитнеса 🏃‍♂ Под угрозой могли оказаться владельцы почти 300 моделей различных устройств компании, установившие программу на смартфон под управлением Android (из Google Play приложение загрузили более 10 млн пользователей). Обнаруженному исследователем недостатку безопасности PT-2025-41569 (BDU:2025-08843) присвоено 6,9 балла по шкале CVSS 4.0. Уязвимость, позволяющая выполнить внедрение SQL-кода, затрагивала Garmin Connect версии 5.14. Производитель был уведомлен об угрозе в рамках политики ответственного разглашения и выпустил обновление ПО. В случае атаки к нарушителю могли бы попасть данные о физических характеристиках пользователя — от его веса до ритма сердцебиения, а также информация о маршрутах беговых и велотренировок. Жертвами злоумышленников могли стать владельцы умных часов, фитнес-браслетов, велокомпьютеров и GPS-навигаторов Garmin. «Для эксплуатации уязвимости злоумышленнику потребовалось бы заранее написать вредоносное приложение, которое после установки на устройство пользователя перехватило бы данные, собранные Garmin Connect. Чтобы жертва добровольно загрузила вредоносную программу на смартфон, атакующий мог замаскировать ее под игру или любое другое безобидное ПО», — отметил Артем Кулаков. 🔄 Чтобы устранить ошибку, следует в кратчайшие сроки обновить приложение до версии 5.18 или выше. Также Артем напоминает, что приложения для смартфонов важно скачивать только из официальных магазинов: это снизит риск утечки персональных данных и других неблагоприятных последствий. Быть в курсе актуальных недостатков безопасности можно на портале dbugs, где аккумулируются данные об уязвимостях в ПО и оборудовании производителей со всего мира, а также рекомендации вендоров по их устранению. #PTSWARM