Fitness-Tracker: Hersteller legen wenig Wert auf Sicherheit
Neulich gab es schon einen Bericht, dass Smartwatches Daten nicht ordentlich verschlüsseln und somit relativ einfach persönliche Daten des Nutzer preisgeben. Nun hat AV Test Fitness-Tracker untersucht und diese nach ihrem Sicherheitsrisiko eingeordnet. Dabei wurde nicht nur überprüft, ob die Armbänder die Daten verschlüsseln, sondern auch die Verbindung an sich. Das Ergebnis überrascht nicht wirklich, die meisten Armbänder haben Defizite, was die Sicherheit anbelangt.
Getestet wurden neun Armbänder, die aktuell in Deutschland verfügbar sind, außerdem waren die Testkandidaten mit mehreren Smartphones kompatibel, sind also nicht an ein spezielles Gerät gebunden. Welche das waren, seht Ihr in der oberen Grafik. Einzig das Sony Smartband Talk schneidet nahezu makellos ab. Hier wird bemängelt, dass sich die Bluetooth-Verbindung nicht direkt am Armband deaktivieren lässt.
Wo es Gewinner gibt, gibt es auch Verliere, in diesem Fall trifft es das Acer Liquid Leap Fitness-Armband, das auch unter anderen Namen von anderen Herstellern verkauft wird. In 9 von 11 Testkriterien versagte das Modell von Acer, allerdings ist nicht klar, ob die gleichen Armbänder unter anderem Namen auch die gleichen Mängel zeigen. Sollte eine andere Software verwendet werden, kann das Ergebnis nämlich schon wieder ganz anders aussehen.
Interessant ist, dass das Armband von Acer sich anscheinend auch einfach manipulieren lässt. Im Test wurde eine App erstellt, die Teile der Original-App beinhaltete und dadurch auch als Original vom Armband erkannt wurde. Ein Datenaustausch war problemlos möglich und man konnte die Daten sogar manipulieren und an das Armband zurückschicken.
Allzu sicher sind die Fitness-Gadgets also nicht, obwohl sie relativ sensible Daten aufzeichnen und an das Smartphone weitergeben. Aktuell mag das Auslesen von Fitness-Daten Fremder zumindest hierzulande noch keine Bedrohung sein, das kann sich aber schnell ändern, wenn die Fitness-Daten für den Nutzer Vor- oder Nachteile bringen. Krankenkassen, die Tarife von der persönlichen Fitness abhängig machen, speziell auf den Fitness-Stand zugeschnittene Werbung und so weiter.
Die Hersteller sind dennoch gut beraten, das Thema Sicherheit und Privatsphäre bei Fitness-Gadgets nicht zu vernachlässigen. Immerhin wollen sie dem Nutzer die Gadgets als unverzichtbar anpreisen. Wenn diese jedoch in Sachen Sicherheit löchrig wie ein schweizer Käse sind, klappt das mit Sicherheit nicht so gut.
Wird geladen ...
Ja, interessant und ganz doll böse von den Uhren. Aber mal ehrlich, da sowieso jedes Armband seine Daten zu einem oder mehreren Online Diensten synchronisiert und ohne so eine Verbindung gar nicht erst richtig funktioniert, setze ich mich als Hacker doch lieber direkt auf Schwachstellen in den Servern an und hacke gleich tausende User und nicht in den Uhren.
Mich würde mal der Datenschutz der Fitness-Tracker Apps für Smartphones interessieren.
@Noone
Hier ging es um Fitnesstracker und nicht um Smartwatches! Ist doch ein kleiner Unterschied! 🙂
Da meine Mails, Telefonate und Bankgeschäfte in Echtzeit gelogged werden: Where da problem, wenn die noch meine Schritte mitzählen…?
😉
Also mal ehrlich:
Ich bin ja sehr für Datenschutz, aber was soll das hier? Auf meinem Fitnesstracker sind keine persönlichen Daten gespeichert. Nur ein paar anonyme Schritte der letzten Stunden, die noch nicht synchronisiert wurden. Und der Fitnesstracker kann noch nicht mal direkt übers Internet ausgelesen werden. Sondern nur per Bluetooth in ein paar Metern Umkreis. Und dafür so ein Theater?
Die Hardware ist also total uninteressant. Viel interessanter wäre stattdessen der Datenschutz der Apps, die das alles sammeln und mit meinem persönlichen Profil verknüpfen.
„Krankenkassen, die Tarife von der persönlichen Fitness abhängig machen“
Na ist doch super, wenn sich da die Daten manipulieren lassen! Sehe das eher positiv, dann kann wenigstens jeder mit genügend technischem Wissen in Zukunft bei der Krankenkasse sparen.
Wie kommen die Tester darauf, dass sich Bluetooth beim Polar Loop nicht deaktivieren lässt? Bei der Anzeige der Uhrzeit länger auf dem Aktivierungstouchfeld bleiben …Ooops, und schon begibt sich das Loop in den FlightMode. Das wird dann sogar mit einem symbolischen Flugzeug-Icon bestätigt. Sorry Jungs – das war nix
Mal ehrlich, sind wir wirklich schon soweit, dass wir bei Schritten oder vielleicht auch Schlafphasen von „sensiblen Daten“ sprechen?
Wie wohl das MI Band abschneidet?
@Sutadur Klar ist das sensibel den Schlaf-Wachrhythmus einer Person zu kenn oder abschätzen zu können wie viel sie sich bewegt. Die Frage ist immer für wen und unter welchen Umständen. Kann gut sein, dass dir persönlich das alles völlig egal sein kann. Es kann auch gut sein, dass das bei diesen Fitnessbändern alles völlig irrelevant ist und bleibt. Aber es lassen sich genügend realistische Szenarien vorstellen in denen es sehr sensible persönliche Daten sind.
Manchen scheint immer noch nicht klar zu sein, wie wenig auf so einem Fitnesstracker lokal überhaupt gespeichert ist.
Da liegt kein Persönlichkeitsprofil und kein „Schlaf-Wachrhythmus“. Da liegen nur ein paar wenige Daten, die noch nicht zum Smartphone geschickt wurden. Daraus kann niemand ein Personenprofil ableiten. Höchstens, wieviel du *heute* Nacht geschlafen hast, falls du den Tracker heute noch *nicht* synchronisiert hast.
Und um das herauszufinden, müsste sich ein Angreifer im Umkreis von wenigen Metern per Bluetooth mit deinem Tracker verbinden können und dazu autorisiert sein.
Also viel Lärm um nichts.
Dagegen gibt’s woanders viel kritischere Datenschutzprobleme. Zum Beispiel, dass Whatsapp auf iPhones immer noch komplett unverschlüsselt sendet und empfängt. Das kann z.B. jeder abgreifen, der mit dem iPhone im selben WLAN ist.
@Orbis Ich sehe das Problem auch eher bei den Apps und dort wo die Anbieter solche Daten in der Cloud sammeln als bei den Trackern selbst. Ich bezog mich aber genau auf die Frage von Sutadur: „Mal ehrlich, sind wir wirklich schon soweit, dass wir bei Schritten oder vielleicht auch Schlafphasen von ’sensiblen Daten‘ sprechen?“
@GS: Das Mi-Band vermisse ich in dem Vergleich auch. Zumindest gefühlt ist es doch DAS Fitnessband schlechthin.
Ich fürchte ihr denkt nicht weit genug. Selbstverständlich sind Schritte und Schlafphasen persönliche Daten. Aus dem Kontext gerissen sind sie vielleicht unnütz, aber wenn jemand jeden zweiten Tag abends ab 19:00 plötzlich anfängt viele Schritte zu machen (und vielleicht sogar so unbedarft ist seinen Tracker mit einer App verbunden hat, die womöglich bei Facebook/Runtastic/Whatever postet), dann weiß ich: der Kerl ist nicht zu Hause, den könnte man ausrauben gehen.
Jaja ich bin ein paranoider Mensch und was ich skizziere ist Dystopie, alles völlig überzogen, total unrealistisch usw… Glaubt mir, ihr könnt euch gar nicht so wilde Szenarien ausdenken, wie sie derzeit jeden Tag hier in Deutschland bei der Polizei auflaufen und die mit noch viel weniger Daten auskommen.
Ich will auf keinen Fall die Technik verteufeln. Auch ich liebe meinen Fitbit. Aber Datenschutz ist etwas, das man nicht am Ende über ein Produkt überstreifen kann, das müsste bereits beim Designprozess von Experten bedacht werden, um hoffentlich 90% der Angreifer aufhalten zu können. Das kostet jedoch viel Geld und wird deswegen meist nur stiefmütterlich umgesetzt. Oder gar nicht.
@Noone: Ich bitte dich, wenn jemand das postet und damit mehr oder weniger öffentlich macht, ist das doch etwas ganz anderes. Da kann der Datenschutz auf dem Gerät noch so ausgereift sein, die Schwachstelle ist am Ende trotzdem der Nutzer.