Mo, 20. November 2017

Studie von AV-Test:

23.06.2015 07:15

So einfach tricksen Datendiebe Fitnessbänder aus

Die Sicherheitstester vom Virenlabor AV-Test haben in einer neuen Studie die Angreifbarkeit von Fitnessbändern verschiedener Hersteller überprüft – und teils schockierende Schwachstellen bei den Geräten entdeckt. Bei einigen Modellen können die erfassten Daten direkt über Bluetooth abgegriffen werden, andere kommen mit unsicheren Apps. Als weitgehend sicher wurden nur zwei von neun Testkandidaten eingestuft.

Je mehr sensorgespickte Geräte ein Mensch trägt, umso mehr persönliche Infos von ihm stehen zur Verfügung. Fitnessbänder sind dabei vor allem bei sportlichen Nutzern beliebt, erfassen sie doch allerlei Daten wie die Zahl der gegangenen Schritte oder die zurückgelegten Höhenmeter. Klingt zunächst nicht sonderlich wertvoll, für Versicherungsunternehmen können diese Infos aber durchaus von Wert sein – etwa, wenn der sportliche Kunde weniger zahlt als der unsportliche.

AV-Test hat nun überprüft, wie einfach diese Fitnessdaten abgegriffen und manipuliert werden können. Im Test wurden neun Geräte unter die Lupe genommen: Acer Liquid Leap, FitBit Charge, Garmin Vivosmart, Huawei Talkband B1, Jawbone Up24, LG Lifeband Touch FB84, Polar Loop, Sony Smartband Talk SWR30 und Withings Pulse Ox. Am schlechtesten schnitt im Test das Acer-Fitnessband ab, am besten kamen die Geräte von Polar und Sony weg.

Acers App lässt sich leicht nachbauen
Acers von einem Auftragsfertiger zugekauftes Liquid Leap könne man leicht mit einer nachgebauten App austricksen und so an die Daten gelangen, so die Beobachtung der Sicherheitsexperten. Auch die Funktionen – etwa der Alarm - des Bandes lassen sich durch diese Angriffsmethode manipulieren. Diese Angriffsmethode sei umso naheliegender, weil der Quellcode der Android-Anwendung für Acers Fitnessband schlechter gesichert sei als etwa bei Sony oder Polar.

Eine erstaunliche Entdeckung machten die Tester auch bei Betrachtung des FitBit Charge. Das Fitnessband lässt sich mit jedem Smartphone mit aktiver Bluetooth-Verbindung koppeln und fragt dabei nicht einmal nach einem PIN-Code oder einem Passwort. Das bedeutet, dass Handynutzer mit aktiver Bluetooth-Verbindung im Umkreis des Nutzers die gewonnenen Daten abgreifen können – zumal diese nicht einmal verschlüsselt werden.

Jawbone-Bluetooth kann stundenlang sichtbar sein
Kritisch sehen die Tester auch die Bänder von Jawbone und Huawei, die mit mehreren Geräten gepaart werden können, die dann alle Zugriff auf die Fitness-Daten haben. Das Jawbone-Band schaltet sein Bluetooth-Modul zudem mehrere Stunden auf sichtbar, wenn es die Verbindung zum gewohnten Bluetooth-Partnergerät verliert.

Während die Apps und die Bluetooth-Verbindung der getesteten Tracker zumindest in Einzelfällen recht einfach angreifbar sind, bieten alle getesteten Geräte zumindest bei der Übertragung der Daten in die Cloud die nötigen Sicherheitsfunktionen. Alle übertragen die Daten über das verschlüsselte Protokoll HTTPS oder andere sichere Kanäle, so das Fazit der Tester. Freilich: Wie gut die Daten auf den Servern des Fitnessband-Herstellers gesichert sind, ist eine andere Frage.

Das Fazit der Tester: Nur die Fitnessbänder von Polar und Sony kommen mit wirklich soliden Sicherheitskonzepten daher, die anderen getesteten Geräte sind leichter angreifbar als die Testsieger. In der Risikobewertung ganz vorne rangiert das Acer-Fitnessband, das von einem Zulieferer zugekauft wird und auch unter anderen Markennamen wie Striiv, Tofasco und Walgreens verkauft wird. Die restlichen getesteten Geräte reihen sich in puncto Sicherheit zwar vor Acer, aber hinter den Testsiegern ein.

Das könnte Sie auch interessieren
Kommentar schreiben

Sie haben einen themenrelevanten Kommentar? Dann schreiben Sie hier Ihr Storyposting! Sie möchten mit anderen Usern Meinungen austauschen oder länger über ein Thema oder eine Story diskutieren? Dafür steht Ihnen jederzeit unser krone.at-Forum, eines der größten Internetforen Österreichs, zur Verfügung. Sowohl im Forum als auch bei Storypostings bitten wir Sie, unsere AGB und die Netiquette einzuhalten!
Diese Kommentarfunktion wird prä-moderiert. Eingehende Beiträge werden zunächst geprüft und anschließend veröffentlicht.

Kommentar schreiben
500 Zeichen frei
Kommentare
324

User-Beiträge geben nicht notwendigerweise die Meinung des Betreibers/der Redaktion bzw. von Krone Multimedia (KMM) wieder. In diesem Sinne distanziert sich die Redaktion/der Betreiber von den Inhalten in diesem Diskussionsforum. KMM behält sich insbesondere vor, gegen geltendes Recht verstoßende, den guten Sitten oder der Netiquette widersprechende bzw. dem Ansehen von KMM zuwiderlaufende Beiträge zu löschen, diesbezüglichen Schadenersatz gegenüber dem betreffenden User geltend zu machen, die Nutzer-Daten zu Zwecken der Rechtsverfolgung zu verwenden und strafrechtlich relevante Beiträge zur Anzeige zu bringen (siehe auch AGB).

Für den Newsletter anmelden