Studie von AV-Test:

So einfach tricksen Datendiebe Fitnessbänder aus

Elektronik
23.06.2015 07:15
Die Sicherheitstester vom Virenlabor AV-Test haben in einer neuen Studie die Angreifbarkeit von Fitnessbändern verschiedener Hersteller überprüft – und teils schockierende Schwachstellen bei den Geräten entdeckt. Bei einigen Modellen können die erfassten Daten direkt über Bluetooth abgegriffen werden, andere kommen mit unsicheren Apps. Als weitgehend sicher wurden nur zwei von neun Testkandidaten eingestuft.

Je mehr sensorgespickte Geräte ein Mensch trägt, umso mehr persönliche Infos von ihm stehen zur Verfügung. Fitnessbänder sind dabei vor allem bei sportlichen Nutzern beliebt, erfassen sie doch allerlei Daten wie die Zahl der gegangenen Schritte oder die zurückgelegten Höhenmeter. Klingt zunächst nicht sonderlich wertvoll, für Versicherungsunternehmen können diese Infos aber durchaus von Wert sein – etwa, wenn der sportliche Kunde weniger zahlt als der unsportliche.

AV-Test hat nun überprüft, wie einfach diese Fitnessdaten abgegriffen und manipuliert werden können. Im Test wurden neun Geräte unter die Lupe genommen: Acer Liquid Leap, FitBit Charge, Garmin Vivosmart, Huawei Talkband B1, Jawbone Up24, LG Lifeband Touch FB84, Polar Loop, Sony Smartband Talk SWR30 und Withings Pulse Ox. Am schlechtesten schnitt im Test das Acer-Fitnessband ab, am besten kamen die Geräte von Polar und Sony weg.

Acers App lässt sich leicht nachbauen
Acers von einem Auftragsfertiger zugekauftes Liquid Leap könne man leicht mit einer nachgebauten App austricksen und so an die Daten gelangen, so die Beobachtung der Sicherheitsexperten. Auch die Funktionen – etwa der Alarm - des Bandes lassen sich durch diese Angriffsmethode manipulieren. Diese Angriffsmethode sei umso naheliegender, weil der Quellcode der Android-Anwendung für Acers Fitnessband schlechter gesichert sei als etwa bei Sony oder Polar.

Eine erstaunliche Entdeckung machten die Tester auch bei Betrachtung des FitBit Charge. Das Fitnessband lässt sich mit jedem Smartphone mit aktiver Bluetooth-Verbindung koppeln und fragt dabei nicht einmal nach einem PIN-Code oder einem Passwort. Das bedeutet, dass Handynutzer mit aktiver Bluetooth-Verbindung im Umkreis des Nutzers die gewonnenen Daten abgreifen können – zumal diese nicht einmal verschlüsselt werden.

Jawbone-Bluetooth kann stundenlang sichtbar sein
Kritisch sehen die Tester auch die Bänder von Jawbone und Huawei, die mit mehreren Geräten gepaart werden können, die dann alle Zugriff auf die Fitness-Daten haben. Das Jawbone-Band schaltet sein Bluetooth-Modul zudem mehrere Stunden auf sichtbar, wenn es die Verbindung zum gewohnten Bluetooth-Partnergerät verliert.

Während die Apps und die Bluetooth-Verbindung der getesteten Tracker zumindest in Einzelfällen recht einfach angreifbar sind, bieten alle getesteten Geräte zumindest bei der Übertragung der Daten in die Cloud die nötigen Sicherheitsfunktionen. Alle übertragen die Daten über das verschlüsselte Protokoll HTTPS oder andere sichere Kanäle, so das Fazit der Tester. Freilich: Wie gut die Daten auf den Servern des Fitnessband-Herstellers gesichert sind, ist eine andere Frage.

Das Fazit der Tester: Nur die Fitnessbänder von Polar und Sony kommen mit wirklich soliden Sicherheitskonzepten daher, die anderen getesteten Geräte sind leichter angreifbar als die Testsieger. In der Risikobewertung ganz vorne rangiert das Acer-Fitnessband, das von einem Zulieferer zugekauft wird und auch unter anderen Markennamen wie Striiv, Tofasco und Walgreens verkauft wird. Die restlichen getesteten Geräte reihen sich in puncto Sicherheit zwar vor Acer, aber hinter den Testsiegern ein.

Loading...
00:00 / 00:00
play_arrow
close
expand_more
Loading...
replay_10
skip_previous
play_arrow
skip_next
forward_10
00:00
00:00
1.0x Geschwindigkeit
explore
Neue "Stories" entdecken
Beta
Loading
Kommentare

Da dieser Artikel älter als 18 Monate ist, ist zum jetzigen Zeitpunkt kein Kommentieren mehr möglich.

Wir laden Sie ein, bei einer aktuelleren themenrelevanten Story mitzudiskutieren: Themenübersicht.

Bei Fragen können Sie sich gern an das Community-Team per Mail an forum@krone.at wenden.



Kostenlose Spiele