Unverschlüsselte Daten
Fitnesstracker als Sicherheitsrisiko?
Sportliche Gadgets wie Fitness-Armbänder werden immer beliebter. Doch was passiert mit all den Daten, die von den Trackern rund um die Uhr erfasst werden? Welche Rolle spielt der Datenschutz bei Fitness-Trackern?
Wer ein Fitness-Armband trägt, ist sich der Tatsache bewusst, dass das Wearable Daten erfasst, speichert und gegebenenfalls zur Auswertung an Apps auf dem Smartphone oder Tablet weitergibt. Eben dieses Tracking ist vom Nutzer erwünscht. Doch eine aktuelle Untersuchung von AV-Test zeigt nun, dass die Sicherheit der Datenübertragung bei vielen Fitness-Trackern bislang zu kurz kommt.
Im Rahmen eines Sicherheitstests von 9 Fitness-Armbändern untersuchte das unabhängige Sicherheits-Unternehmen, wie sicher die Daten zwischen Smartphone und Gadget ausgetauscht werden. Welche Schwachstellen könnten Hacker ausnutzen, um Daten abzugreifen oder zu manipulieren? Das Ergebnis fiel zumindest für die Tracking-Devices mancher Hersteller ernüchternd aus.
Fitnessarmbänder und Tracker im Vergleich
Überprüft wurden zum Testzeitpunkt auf dem deutschen Markt verfügbare Wearables, die mit beliebigen Android-Smartphones zusammenarbeiten: Acer Liquid Leap, FitBit Charge, Garmin Vivosmart, Huawei TalkBand B1, Jawbone Up24, LG Lifeband Touch FB84, Polar Loop, Sony Smartband Talk SWR30 und Withings Pulse Ox.
Die Testgeräte wurden per Bluetooth mit dem Smartphone verbunden, auf dem jeweils die offizielle Hersteller-App installiert war. Zudem wurde versucht, die vom Fitness-Tracker erfassten Daten mit einer selbst programmierten App abzugreifen.
Bei vielen Fitnesstrackern bleibt Bluetooth dauerhaft aktiv und das Gerät sichtbar, so dass auch potentielle Angreifer das Ziel klar vor Augen haben. Problematisch: Bei manchem Fitnessarmband genügt eine simple Bestätigung ohne PIN für die Verbindung. Doch selbst wenn ein Code abgefragt wird, besteht die Gefahr, dass dieser zu leicht zu erraten ist - wobei AV-TEST darauf verzichtet, den Hersteller zu verraten, bei dem dies der Fall war.
Wie sicher ist die Datenübertragung?
Äußerst problematisch war die Übertragungssicherheit im Test von AV-TEST beim Fitbit Charge. Das Armband akzeptiert Bluetooth-Anfragen eines jeden Smartphones und legt dann unverschlüsselt alle erfassten Daten offen. Eine Authentifizierung ist nicht nötig.
Die Tracker von Huawei und Jawbone reichen ihre Daten an jedes gepaarte Smartphone mit passender App weiter. Das Withings Pulse Ox erlaubte sich bei der Datenweitergabe einen Patzer: Zwar klappt die Übertragung an das aktuell verbundene Gerät, doch bei der Wahl eines zuvor gepaarten Empfängers wird das Armband zurückgesetzt und die Daten gehen verloren.
Wie sicher ist die App?
Neben der Funkverbindung, die die räumliche Nähe eines Angreifers voraussetzt, können sich Apps als Schwachstelle erweisen. Fünf der getesteten Fitness-Apps verschleiern AV-TEST zufolge ihren Code ausreichend. Drei Apps bieten durch verteilte Programmbibliotheken Schutz vor Code-Analysen durch Hacker. Problematisch ist die Ausgabe von Log-Informationen, wie sie die Apps von LG und Polar bieten.
Immerhin entspricht die Datenübertragung ins Internet (zum Beispiel um Fitness-Informationen in der Cloud zu speichern) bei allen getesteten Apps den aktuellen Sicherheitsstandards. Hier kommen HTTPS und Datenverschlüsselung zur Anwendung.
Als Sicherheitssieger gingen das Sony Smartband Talk SWR30 und das Polar Loop aus dem Test von AV-TEST hervor. Für alle anderen Modelle fällt die Risikobewertung schlechter aus. Höchste Gefahr für einen erfolgreichen Angriff konstatiert AV-TEST beim Acer Liquid Leap.
Alle weiteren Informationen und auführliche Testergebnisse zur Sicherheit von Fitness-Trackern finden sich auf der offiziellen AV-TEST-Webseite.
