Fitness-Gadgets fallen beim Thema Sicherheit und Datenschutz weiterhin durch

artikel_jawboneupDass Fitnesstracker nicht die sichersten Alltagsbegleiter sind, wissen wir bereits. Damals wurden 9 Fitnesstracker hinsichtlich Datenschutz und Sicherheitsrisiko untersucht, ganz ohne Mängel schaffte es keiner der Tracker. Open Effect hat in Zusammenarbeit mit Citizen Lab erneut Fitnesstracker bezüglich Sicherheit und Datenschutz untersucht und ist zu keinem viel besseren Ergebnis gekommen. Untersucht wurden 8 Fitness-Gadgets, vom klassischen Fitness-Armband Xiaomi Mi Band, über Basis Peak bis zur Apple Watch. Das Ergebnis ist ernüchternd, denn sowohl im Bereich der Hardware als auch bei der Software bieten die Tracker Angriffspunkte zur Manipulation der Daten oder dem Erstellen von Aufenthaltsprofilen.

ft_sec_01

Eine Schwachstelle ist die Bluetoothverbindung zwischen Tracker und Smartphone. Unter Umständen können bei der Übermittlung von Daten oder Pairing-Versuchen gerätespezifische Daten übertragen werden. Auf diese Weise wäre es theoretisch möglich, ein Aufenthaltsprotokoll des Trägers zu erstellen. Sieben der acht getesteten Geräte teilten so ihre MAC-Adresse mit. Es gibt im Bluetooth-Standard seit Version 4.0 die Möglichkeit, eine zufällige MAC-Adresse zu verschicken, diese muss von den Herstellern allerdings auch aktiviert werden. Die Apple Watch war der einzige Testkandidat, der seine MAC-Adresse nach Reboot und in regelmäßigen Abständen geändert hat.

ft_withings

Ein Fitnesstracker kommt meist auch mit der passenden App. Diese sind jedoch nicht so sicher, wie es sich der Nutzer wünscht. Die Apps von Jawbone und Withings lassen sich indes mit Fake-Einträgen versehen, wenn gerade kein Tracker verbunden ist. Bei Garmin Connect (iOS und Android) und Withings Connect (Android) führen Sicherheitslücken in den Apps sogar dazu, dass Dritte die Daten auslesen und auch schreiben können. Die Garmin Connect-App hält bei der Übertragung von Daten außerdem nicht einmal einfachste Schutzmaßnahmen für nötig und macht die Übertragung so zum Angriffspunkt für Überwachung oder Verfälschung der Daten.

Diese Lücken, egal ob in der App oder in der Hardware sind nicht gut. Die Forscher nennen ein interessantes Beispiel. In einem Einkaufszentrum könnten wiederkehrende Besucher getrackt werden, wenn sie im Moment des Besuchs ihre MAC-Adresse aussenden. Im Fall der App-Manipulation könnte es aber viel größere Probleme geben. Fitnessdaten wurden vor Gerichten bereits als Beweismittel genutzt, wenn sich diese jedoch verfälschen lassen, dürfte sich das rasch wieder ändern.

ft_loc

Auch für Versicherungen dürfte so eine Manipulation nicht gerade eine erfreuliche Nachricht sein. Krankenkassen möchten gesund lebenden Beitragszahlern Boni gewähren, wenn sich diese jeder erschleichen kann, ist das ganze Modell kaputt. Interessant ist auch, dass gerade die Firmen, die die anfälligsten Apps im Umlauf haben, nicht auf die Hinweise der Forscher reagiert haben.

Je weiter solche Gadgets verbreitet sind, desto wichtiger wird auch das Thema Sicherheit und Privatsphäre. Dass sich die Hersteller hier nicht immer von Anfang an Gedanken machen, sieht man an vielen Beispielen, nicht nur bei Fitness-Gadgets. So lange die Geräte aber nicht eine ganze Ecke sicherer werden, vor allem aber auch die dazugehörigen Apps, sollte man sich bei deren Einsatz im Klaren darüber sein, dass man eventuell mehr von sich preisgibt als man möchte.

Vor dem gleichen Problem steht übrigens auch der Rest des Internet der Dinge. Es wird immer Lücken geben, die ungepatcht bleiben und somit dauerhaft ein Sicherheitsrisiko darstellen. Hier kann die Lösung auf lange Sicht nur hinter der Steckdose liegen, die Geräte selbst werden oft nicht einmal mit Updates versorgt, die etwaige Lücken schließen könnten.

Den kompletten Bericht über die Fitnesstracker könnt Ihr hier einsehen. Schon interessant, was die Forscher angestellt haben, um an Daten der Tracker zu kommen und wie sie diese dann manipuliert haben.

(Quelle: Open Effect)

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Sascha Ostermaier

Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

12 Kommentare

  1. tolle Studie: der imho derzeit beste Fitnesstracker Microsoft Band 2 ist gar nicht dabei. Und ein 350 EUR Produkt (Apple Watch) mit fast ausschließlich Produkten der Preisklasse um die 100 EUR oder günstiger zu vergleichen ist halt mal wieder (Vorsicht Wortwitz) Äpfel mit Birnen zu vergleichen…

  2. Mein Wearable funkt nicht, braucht keine Batterie und hat eine Gangreserve von 60 Stunden dank Automatikuhrwerk. Und es kann die Zeit anzeigen. Und sieht gut aus. Und die IT Industrie hat keinen Zugriff drauf. Reicht mir.
    Und das beste daran: Unterliegt nicht einem Preisverfall von 90% in 4-5 Jahren. 😉

  3. Warum sollte das „Äpfel mit Birnen verglichen“ sein, die Sicherheitslücken sind doch im Prinzip bei allen gleich? Ob ein Gerät 10 oder 350 Euro kostet, wenn z.B. Bluetooth eingebaut ist, ist da eine potentielle Lücke da zu suchen. In der Regel geht man davon aus, dass ein Hersteller der wesentlich mehr Geld für ein Produkt mit ähnlicher Funktion verlangt, auch mehr Sorgfalt in Entwicklung und Fertigung, und damit auch Sicherheit und Datenschutz, steckt – dass das nicht immer so ist zeigt die Studie ja.

  4. Toller Beitrag!

  5. Wie kann man bloß auf die Idee kommen die Fitnessdaten für Versicherungen/Krankenkassen zu verwenden. Ich warte nur darauf das meine Krankenkasse einen Bonus für Sport mit dem Armband zahlt. Dann wird der Nachbar aufgesucht der eh schon viel Sport treibt und der bekommt mein Armband für eine gewisse Zeit. Das ich in der Zeit faul auf dem Sofa liege und mich mit Chips vollstopfe, das erzähle ich der Krankenkasse natürlich nicht.
    So hat man doch die Daten viel einfacher gehackt als durch irgendwelche Softwarelücken. wahrscheinlich entwickelt sich daraus ein Geschäftsmodel: „1 Woche optimale Daten im Tracker? Kein Problem kostet 5€!“

  6. gibt es irgendein „Band“ bei dem man nicht gezwungen wird die Daten zu irgendwelchen Servern zu senden? Oder gibt es für einen Tracker Drittapps die das nicht machen und die Daten nur lokal auswerten?

  7. @kOOk
    Hast du den Artikel überhaupt gelesen? Die Apple Watch ist die einzige die Bluetooth LE Privacy implementiert und die MAC Adresse regelmässig ändert.

    @Bernd
    Ist ein Account bei den meisten Trackern von MS, Fitbit, Garmin, etc überhaupt Zwang?
    Der von mir eingesetzte Moov Now ist an keinen Online-Account geknüpft weil’s den bis jetzt nicht gibt. Das Coaching und die Aufzeichnung funktioniert offline in Verbindung mit ner App.

  8. @Kalle
    Bei Xiaomi und Fitbit ist es wohl Zwang. Bei Moov Now habe ich mir gerade gestern die app heruntergeladen und sollte auch ein Konto anlegen bevor ich da überhaupt reinschauen konnte :/

  9. Wenn das eigene wearable nicht gelistet ist, gibt’s eine praktikable Möglichkeit zu testen wie angreifbar das gerät über Bluetooth ist?

  10. Hätte jemand eine Empfehlung für ein einfaches Device? Hauptaufgabe wäre Schritte zählen – das sollte halbwegs vernünftig funktionieren. Um die 50 € wäre meine Preisvorstellung.

  11. @matze
    Mi band:perfekter tracker

  12. @Bernd
    Stimmt. Sorry, hab ich vergessen. Du machst zwar einen Account bei der Einrichtung, aber der ist zu nichts zu gebrauchen. Die Daten bleiben nur in der App. Moov hat vor Ewigkeiten eine Web App angekündigt, aber von der ist bis jetzt nichts zu sehen.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.
Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessern. Durch Deinen Besuch stimmst Du dem zu.