iOS-Fitness-App Fitify legt 138.000 private Fotos von Nutzern offen

Das Forschungsteam von Cybernews hat einen Datenleck bei Fitify aufgedeckt, einer beliebten Fitness-App mit weltweit über 25 Millionen Installationen. Die Forscher entdeckten, dass 373.000 sensible Benutzerdateien – darunter 138.000 Fortschrittsfotos – in einem öffentlich zugänglichen Google Cloud-Bucket gespeichert waren, ohne Passwortschutz oder Verschlüsselung im Ruhezustand, sodass jeder darauf zugreifen konnte.

Unter den geleakten Dateien befanden sich:

• 206.000 Nutzerprofilfotos
• 138.000 von Nutzern hochgeladene Fortschrittsbilder zur Verfolgung von Fitnessfortschritten
• 13.000 Anhänge mit Nachrichten des KI-Coaches, die Bilder oder Text enthalten können
• 6.000 Körperscan-Dateien, darunter Fotos und KI-generierte Metadaten (z. B. Muskelmasse, Körperfett, Körperhaltung)

Wichtigste Ergebnisse der Untersuchung

• Viele der veröffentlichten Fotos waren halbnackte Körperscans, die von Nutzern aufgenommen wurden, um Gewichtsverlust oder Muskelaufbau zu dokumentieren.
• Fitify verspricht eine Verschlüsselung während der Übertragung, aber das Fehlen grundlegender Zugriffskontrollen birgt erhebliche Datenschutzrisiken.
• Die Forscher fanden außerdem fest codierte Geheimnisse im Code der App – darunter Google-API- und Client-IDs, Firebase-Datenbank-URLs, Facebook-Tokens und sogar einen Algolia-API-Schlüssel, der in der Datenschutzerklärung nicht angegeben war.
• Diese offengelegten Anmeldedaten könnten Angreifern den Zugriff auf die Backend-Infrastruktur ermöglichen, sie könnten sich als Nutzer ausgeben oder bösartige Inhalte

Quelle: Cybernews