Fitness-Gadgets fallen beim Thema Sicherheit und Datenschutz weiterhin durch

5. Februar 2016 Kategorie: Android, Apple, Backup & Security, geschrieben von: Sascha Ostermaier

artikel_jawboneupDass Fitnesstracker nicht die sichersten Alltagsbegleiter sind, wissen wir bereits. Damals wurden 9 Fitnesstracker hinsichtlich Datenschutz und Sicherheitsrisiko untersucht, ganz ohne Mängel schaffte es keiner der Tracker. Open Effect hat in Zusammenarbeit mit Citizen Lab erneut Fitnesstracker bezüglich Sicherheit und Datenschutz untersucht und ist zu keinem viel besseren Ergebnis gekommen. Untersucht wurden 8 Fitness-Gadgets, vom klassischen Fitness-Armband Xiaomi Mi Band, über Basis Peak bis zur Apple Watch. Das Ergebnis ist ernüchternd, denn sowohl im Bereich der Hardware als auch bei der Software bieten die Tracker Angriffspunkte zur Manipulation der Daten oder dem Erstellen von Aufenthaltsprofilen.

ft_sec_01

Eine Schwachstelle ist die Bluetoothverbindung zwischen Tracker und Smartphone. Unter Umständen können bei der Übermittlung von Daten oder Pairing-Versuchen gerätespezifische Daten übertragen werden. Auf diese Weise wäre es theoretisch möglich, ein Aufenthaltsprotokoll des Trägers zu erstellen. Sieben der acht getesteten Geräte teilten so ihre MAC-Adresse mit. Es gibt im Bluetooth-Standard seit Version 4.0 die Möglichkeit, eine zufällige MAC-Adresse zu verschicken, diese muss von den Herstellern allerdings auch aktiviert werden. Die Apple Watch war der einzige Testkandidat, der seine MAC-Adresse nach Reboot und in regelmäßigen Abständen geändert hat.

ft_withings

Ein Fitnesstracker kommt meist auch mit der passenden App. Diese sind jedoch nicht so sicher, wie es sich der Nutzer wünscht. Die Apps von Jawbone und Withings lassen sich indes mit Fake-Einträgen versehen, wenn gerade kein Tracker verbunden ist. Bei Garmin Connect (iOS und Android) und Withings Connect (Android) führen Sicherheitslücken in den Apps sogar dazu, dass Dritte die Daten auslesen und auch schreiben können. Die Garmin Connect-App hält bei der Übertragung von Daten außerdem nicht einmal einfachste Schutzmaßnahmen für nötig und macht die Übertragung so zum Angriffspunkt für Überwachung oder Verfälschung der Daten.

Diese Lücken, egal ob in der App oder in der Hardware sind nicht gut. Die Forscher nennen ein interessantes Beispiel. In einem Einkaufszentrum könnten wiederkehrende Besucher getrackt werden, wenn sie im Moment des Besuchs ihre MAC-Adresse aussenden. Im Fall der App-Manipulation könnte es aber viel größere Probleme geben. Fitnessdaten wurden vor Gerichten bereits als Beweismittel genutzt, wenn sich diese jedoch verfälschen lassen, dürfte sich das rasch wieder ändern.

ft_loc

Auch für Versicherungen dürfte so eine Manipulation nicht gerade eine erfreuliche Nachricht sein. Krankenkassen möchten gesund lebenden Beitragszahlern Boni gewähren, wenn sich diese jeder erschleichen kann, ist das ganze Modell kaputt. Interessant ist auch, dass gerade die Firmen, die die anfälligsten Apps im Umlauf haben, nicht auf die Hinweise der Forscher reagiert haben.

Je weiter solche Gadgets verbreitet sind, desto wichtiger wird auch das Thema Sicherheit und Privatsphäre. Dass sich die Hersteller hier nicht immer von Anfang an Gedanken machen, sieht man an vielen Beispielen, nicht nur bei Fitness-Gadgets. So lange die Geräte aber nicht eine ganze Ecke sicherer werden, vor allem aber auch die dazugehörigen Apps, sollte man sich bei deren Einsatz im Klaren darüber sein, dass man eventuell mehr von sich preisgibt als man möchte.

Vor dem gleichen Problem steht übrigens auch der Rest des Internet der Dinge. Es wird immer Lücken geben, die ungepatcht bleiben und somit dauerhaft ein Sicherheitsrisiko darstellen. Hier kann die Lösung auf lange Sicht nur hinter der Steckdose liegen, die Geräte selbst werden oft nicht einmal mit Updates versorgt, die etwaige Lücken schließen könnten.

Den kompletten Bericht über die Fitnesstracker könnt Ihr hier einsehen. Schon interessant, was die Forscher angestellt haben, um an Daten der Tracker zu kommen und wie sie diese dann manipuliert haben.

(Quelle: Open Effect)
Über den Autor: Sascha Ostermaier

Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

Sascha hat bereits 6744 Artikel geschrieben.