Fitness-Gadgets fallen beim Thema Sicherheit und Datenschutz weiterhin durch
Dass Fitnesstracker nicht die sichersten Alltagsbegleiter sind, wissen wir bereits. Damals wurden 9 Fitnesstracker hinsichtlich Datenschutz und Sicherheitsrisiko untersucht, ganz ohne Mängel schaffte es keiner der Tracker. Open Effect hat in Zusammenarbeit mit Citizen Lab erneut Fitnesstracker bezüglich Sicherheit und Datenschutz untersucht und ist zu keinem viel besseren Ergebnis gekommen. Untersucht wurden 8 Fitness-Gadgets, vom klassischen Fitness-Armband Xiaomi Mi Band, über Basis Peak bis zur Apple Watch. Das Ergebnis ist ernüchternd, denn sowohl im Bereich der Hardware als auch bei der Software bieten die Tracker Angriffspunkte zur Manipulation der Daten oder dem Erstellen von Aufenthaltsprofilen.
Eine Schwachstelle ist die Bluetoothverbindung zwischen Tracker und Smartphone. Unter Umständen können bei der Übermittlung von Daten oder Pairing-Versuchen gerätespezifische Daten übertragen werden. Auf diese Weise wäre es theoretisch möglich, ein Aufenthaltsprotokoll des Trägers zu erstellen. Sieben der acht getesteten Geräte teilten so ihre MAC-Adresse mit. Es gibt im Bluetooth-Standard seit Version 4.0 die Möglichkeit, eine zufällige MAC-Adresse zu verschicken, diese muss von den Herstellern allerdings auch aktiviert werden. Die Apple Watch war der einzige Testkandidat, der seine MAC-Adresse nach Reboot und in regelmäßigen Abständen geändert hat.
Ein Fitnesstracker kommt meist auch mit der passenden App. Diese sind jedoch nicht so sicher, wie es sich der Nutzer wünscht. Die Apps von Jawbone und Withings lassen sich indes mit Fake-Einträgen versehen, wenn gerade kein Tracker verbunden ist. Bei Garmin Connect (iOS und Android) und Withings Connect (Android) führen Sicherheitslücken in den Apps sogar dazu, dass Dritte die Daten auslesen und auch schreiben können. Die Garmin Connect-App hält bei der Übertragung von Daten außerdem nicht einmal einfachste Schutzmaßnahmen für nötig und macht die Übertragung so zum Angriffspunkt für Überwachung oder Verfälschung der Daten.
Diese Lücken, egal ob in der App oder in der Hardware sind nicht gut. Die Forscher nennen ein interessantes Beispiel. In einem Einkaufszentrum könnten wiederkehrende Besucher getrackt werden, wenn sie im Moment des Besuchs ihre MAC-Adresse aussenden. Im Fall der App-Manipulation könnte es aber viel größere Probleme geben. Fitnessdaten wurden vor Gerichten bereits als Beweismittel genutzt, wenn sich diese jedoch verfälschen lassen, dürfte sich das rasch wieder ändern.
Auch für Versicherungen dürfte so eine Manipulation nicht gerade eine erfreuliche Nachricht sein. Krankenkassen möchten gesund lebenden Beitragszahlern Boni gewähren, wenn sich diese jeder erschleichen kann, ist das ganze Modell kaputt. Interessant ist auch, dass gerade die Firmen, die die anfälligsten Apps im Umlauf haben, nicht auf die Hinweise der Forscher reagiert haben.
Je weiter solche Gadgets verbreitet sind, desto wichtiger wird auch das Thema Sicherheit und Privatsphäre. Dass sich die Hersteller hier nicht immer von Anfang an Gedanken machen, sieht man an vielen Beispielen, nicht nur bei Fitness-Gadgets. So lange die Geräte aber nicht eine ganze Ecke sicherer werden, vor allem aber auch die dazugehörigen Apps, sollte man sich bei deren Einsatz im Klaren darüber sein, dass man eventuell mehr von sich preisgibt als man möchte.
Vor dem gleichen Problem steht übrigens auch der Rest des Internet der Dinge. Es wird immer Lücken geben, die ungepatcht bleiben und somit dauerhaft ein Sicherheitsrisiko darstellen. Hier kann die Lösung auf lange Sicht nur hinter der Steckdose liegen, die Geräte selbst werden oft nicht einmal mit Updates versorgt, die etwaige Lücken schließen könnten.
Den kompletten Bericht über die Fitnesstracker könnt Ihr hier einsehen. Schon interessant, was die Forscher angestellt haben, um an Daten der Tracker zu kommen und wie sie diese dann manipuliert haben.
tolle Studie: der imho derzeit beste Fitnesstracker Microsoft Band 2 ist gar nicht dabei. Und ein 350 EUR Produkt (Apple Watch) mit fast ausschließlich Produkten der Preisklasse um die 100 EUR oder günstiger zu vergleichen ist halt mal wieder (Vorsicht Wortwitz) Äpfel mit Birnen zu vergleichen…
Mein Wearable funkt nicht, braucht keine Batterie und hat eine Gangreserve von 60 Stunden dank Automatikuhrwerk. Und es kann die Zeit anzeigen. Und sieht gut aus. Und die IT Industrie hat keinen Zugriff drauf. Reicht mir.
Und das beste daran: Unterliegt nicht einem Preisverfall von 90% in 4-5 Jahren. 😉
Warum sollte das „Äpfel mit Birnen verglichen“ sein, die Sicherheitslücken sind doch im Prinzip bei allen gleich? Ob ein Gerät 10 oder 350 Euro kostet, wenn z.B. Bluetooth eingebaut ist, ist da eine potentielle Lücke da zu suchen. In der Regel geht man davon aus, dass ein Hersteller der wesentlich mehr Geld für ein Produkt mit ähnlicher Funktion verlangt, auch mehr Sorgfalt in Entwicklung und Fertigung, und damit auch Sicherheit und Datenschutz, steckt – dass das nicht immer so ist zeigt die Studie ja.
Toller Beitrag!
Wie kann man bloß auf die Idee kommen die Fitnessdaten für Versicherungen/Krankenkassen zu verwenden. Ich warte nur darauf das meine Krankenkasse einen Bonus für Sport mit dem Armband zahlt. Dann wird der Nachbar aufgesucht der eh schon viel Sport treibt und der bekommt mein Armband für eine gewisse Zeit. Das ich in der Zeit faul auf dem Sofa liege und mich mit Chips vollstopfe, das erzähle ich der Krankenkasse natürlich nicht.
So hat man doch die Daten viel einfacher gehackt als durch irgendwelche Softwarelücken. wahrscheinlich entwickelt sich daraus ein Geschäftsmodel: „1 Woche optimale Daten im Tracker? Kein Problem kostet 5€!“
gibt es irgendein „Band“ bei dem man nicht gezwungen wird die Daten zu irgendwelchen Servern zu senden? Oder gibt es für einen Tracker Drittapps die das nicht machen und die Daten nur lokal auswerten?
@kOOk
Hast du den Artikel überhaupt gelesen? Die Apple Watch ist die einzige die Bluetooth LE Privacy implementiert und die MAC Adresse regelmässig ändert.
@Bernd
Ist ein Account bei den meisten Trackern von MS, Fitbit, Garmin, etc überhaupt Zwang?
Der von mir eingesetzte Moov Now ist an keinen Online-Account geknüpft weil’s den bis jetzt nicht gibt. Das Coaching und die Aufzeichnung funktioniert offline in Verbindung mit ner App.
@Kalle
Bei Xiaomi und Fitbit ist es wohl Zwang. Bei Moov Now habe ich mir gerade gestern die app heruntergeladen und sollte auch ein Konto anlegen bevor ich da überhaupt reinschauen konnte :/
Wenn das eigene wearable nicht gelistet ist, gibt’s eine praktikable Möglichkeit zu testen wie angreifbar das gerät über Bluetooth ist?
Hätte jemand eine Empfehlung für ein einfaches Device? Hauptaufgabe wäre Schritte zählen – das sollte halbwegs vernünftig funktionieren. Um die 50 € wäre meine Preisvorstellung.
@matze
Mi band:perfekter tracker
@Bernd
Stimmt. Sorry, hab ich vergessen. Du machst zwar einen Account bei der Einrichtung, aber der ist zu nichts zu gebrauchen. Die Daten bleiben nur in der App. Moov hat vor Ewigkeiten eine Web App angekündigt, aber von der ist bis jetzt nichts zu sehen.