热门健身应用Fitify云存储桶数据泄露，37.3 万份私密文件可随意访问

健身应用 Fitify 因谷歌云存储桶配置错误导致37.3万份用户数据遭公开暴露，其中包括13.8万张用于追踪健身进度的隐私照片（部分涉及穿着较少内容）及6000份身体扫描数据，暴露原因为存储桶未设置访问权限控制。

Fitify公开可访问的谷歌云存储桶暴露了37.3万个文件。其中部分文件是用户上传的进度照片，用于追踪身体随时间的变化。

事件经过

5月初，Cybernews研究团队发现了一个Fitify拥有且公开可访问的谷歌云存储桶。虽然该未受保护实例中暴露的大部分文件是锻炼计划和指导视频，但研究人员也注意到用户与应用的“AI教练”分享的照片以及他们的身体扫描图。

该应用的目标用户是希望减肥、塑形或以其他方式改善体态的人群。身体扫描允许用户根据健身计划锻炼或节食后追踪身体随时间的变化。Fitify在Google应用商店的描述中明确声明“数据在传输中加密”，向用户保证他们的私人照片不会被泄露。

然而，Cybernews团队或任何其他人，无需任何密码或安全密钥即可访问该云存储。

研究团队表示：“值得注意的是，‘进度照片’和‘身体扫描’通常穿着较少的衣物拍摄，以便更好地展示减肥和增肌的进展。因此，大多数泄露的图像可能是用户通常希望保持私密、不与互联网上任何人分享的类型。”

Fitify Workouts（该应用背后的公司）在收到Cybernews研究人员的联系后作出回应，关闭了暴露的实例，将其从公开访问中移除。

Fitify数据泄露的范围有多大？

现已关闭的谷歌云存储桶总共包含37.3万个文件。其中20.6万是用户个人资料照片，另有13.8万被标记为进度照片。1.3万个文件是通过应用AI教练消息附件共享的，还有6000个被标记为“身体扫描”数据，包括图片和AI元数据。

身体扫描功能允许用户进行身体的3D扫描，应用会提供其瘦体重、体脂、姿势及其他他们可能希望改善或追踪方面的详细分析。

研究团队解释：“此次泄露表明，应用实施的数据访问控制不足以保护用户数据，而该数据无需任何密码或密钥即可被访问的事实，证明用户数据在静态时未加密。”

在发现暴露的实例后，研究人员交叉核对了Fitify的名称是否包含在他们用来调查苹果应用商店应用实际安全性的随机选取数据集中。

“在调查了暴露的凭证后，我们发现了可能用于访问更多客户数据和应用后端基础设施的凭证。这也表明，配置错误的云存储桶访问控制并非应用开发者的唯一失误，因为许多API密钥和敏感端点位置也被硬编码在应用前端中。”

如何修复易泄露的应用？

我们的研究人员认为，要有效缓解此问题，最好分别处理暴露的实例和硬编码凭证。为了解决云存储桶相关问题，团队建议：

配置云存储桶内置的身份验证功能，将访问权限限制在仅限应访问存储数据的员工和系统。

同时，为防止应用机密凭证落入错误的人手中，团队建议采取以下措施：

泄露的凭证需要撤销，新凭证应在公司控制的服务器内安全地生成和存储，需要对暴露端点的访问控制设置进行审查，并建议执行审计以确定这些漏洞和错误配置是否已被恶意行为者利用。应用需要更新以兼容新的、更安全的基础设施。

转载请注明出处@安全威胁纵横，封面来源于网络；

消息来源：https://cybernews.com/security/fitify-app-data-leak-user-photos-exposed/

声明：本文来自安全威胁纵横，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。