Willkommen
|
Facebook Twitter Google Plus
04.12.2016 - 01:12
Foto: Acer

So einfach tricksen Datendiebe Fitnessbänder aus

23.06.2015, 07:15
Die Sicherheitstester vom Virenlabor AV-Test haben in einer neuen Studie die Angreifbarkeit von Fitnessbändern verschiedener Hersteller überprüft – und teils schockierende Schwachstellen bei den Geräten entdeckt. Bei einigen Modellen können die erfassten Daten direkt über Bluetooth abgegriffen werden, andere kommen mit unsicheren Apps. Als weitgehend sicher wurden nur zwei von neun Testkandidaten eingestuft.

Je mehr sensorgespickte Geräte ein Mensch trägt, umso mehr persönliche Infos von ihm stehen zur Verfügung. Fitnessbänder sind dabei vor allem bei sportlichen Nutzern beliebt, erfassen sie doch allerlei Daten wie die Zahl der gegangenen Schritte oder die zurückgelegten Höhenmeter. Klingt zunächst nicht sonderlich wertvoll, für Versicherungsunternehmen können diese Infos aber durchaus von Wert sein – etwa, wenn der sportliche Kunde weniger zahlt als der unsportliche.

Die Infografik von AV-Test zeigt, welche Fitnessbänder besonders angreifbar sind.
Foto: AV-Test.org

AV- Test hat nun überprüft, wie einfach diese Fitnessdaten abgegriffen und manipuliert werden können.  Im Test wurden neun Geräte unter die Lupe genommen: Acer Liquid Leap, FitBit Charge, Garmin Vivosmart, Huawei Talkband B1, Jawbone Up24, LG Lifeband Touch FB84, Polar Loop, Sony Smartband Talk SWR30 und Withings Pulse Ox. Am schlechtesten schnitt im Test das Acer- Fitnessband ab, am besten kamen die Geräte von Polar und Sony weg.

Acers App lässt sich leicht nachbauen

Acers von einem Auftragsfertiger zugekauftes Liquid Leap könne man leicht mit einer nachgebauten App austricksen und so an die Daten gelangen, so die Beobachtung der Sicherheitsexperten. Auch die Funktionen – etwa der Alarm - des Bandes lassen sich durch diese Angriffsmethode manipulieren. Diese Angriffsmethode sei umso naheliegender, weil der Quellcode der Android- Anwendung für Acers Fitnessband schlechter gesichert sei als etwa bei Sony oder Polar.

Eine erstaunliche Entdeckung machten die Tester auch bei Betrachtung des FitBit Charge. Das Fitnessband lässt sich mit jedem Smartphone mit aktiver Bluetooth- Verbindung koppeln und fragt dabei nicht einmal nach einem PIN- Code oder einem Passwort. Das bedeutet, dass Handynutzer mit aktiver Bluetooth- Verbindung im Umkreis des Nutzers die gewonnenen Daten abgreifen können – zumal diese nicht einmal verschlüsselt werden.

Jawbone- Bluetooth kann stundenlang sichtbar sein

Kritisch sehen die Tester auch die Bänder von Jawbone und Huawei, die mit mehreren Geräten gepaart werden können, die dann alle Zugriff auf die Fitness- Daten haben. Das Jawbone- Band schaltet sein Bluetooth- Modul zudem mehrere Stunden auf sichtbar, wenn es die Verbindung zum gewohnten Bluetooth- Partnergerät verliert.

Während die Apps und die Bluetooth- Verbindung der getesteten Tracker zumindest in Einzelfällen recht einfach angreifbar sind, bieten alle getesteten Geräte zumindest bei der Übertragung der Daten in die Cloud die nötigen Sicherheitsfunktionen. Alle übertragen die Daten über das verschlüsselte Protokoll HTTPS oder andere sichere Kanäle, so das Fazit der Tester. Freilich: Wie gut die Daten auf den Servern des Fitnessband- Herstellers gesichert sind, ist eine andere Frage.

Das Fazit der Tester: Nur die Fitnessbänder von Polar und Sony kommen mit wirklich soliden Sicherheitskonzepten daher, die anderen getesteten Geräte sind leichter angreifbar als die Testsieger. In der Risikobewertung ganz vorne rangiert das Acer- Fitnessband, das von einem Zulieferer zugekauft wird und auch unter anderen Markennamen wie Striiv, Tofasco und Walgreens verkauft wird. Die restlichen getesteten Geräte reihen sich in puncto Sicherheit zwar vor Acer, aber hinter den Testsiegern ein.

23.06.2015, 07:15
der
Kommentare  
Kommentare sortieren nach:
km_num_com
km_datum_formatiert_com
von km_nickname_text_com  
km_text_com
km_kmcom_js_begin_com kmcom_add_trigger("readcomplete","kmcom_set_notify_status(Object({'object_id':km_object_id_com}))"); km_kmcom_js_end_com
km_kmcom_js_begin_com kmcom_add_trigger("readcomplete","kmcom_set_delete_status(Object({'object_id':km_object_id_com, 'status':km_status_com}))"); km_kmcom_js_end_com
Antworten sortieren nach:
km_antworten_com
km_datum_formatiert_com
von km_nickname_text_com  
km_text_com
km_kmcom_js_begin_com kmcom_add_trigger("readcomplete","kmcom_set_notify_status(Object({'object_id':km_object_id_com}))"); km_kmcom_js_end_com
km_kmcom_js_begin_com kmcom_add_trigger("readcomplete","kmcom_set_delete_status(Object({'object_id':km_object_id_com, 'status':km_status_com}))"); km_kmcom_js_end_com
User-Beiträge geben nicht notwendigerweise die Meinung des Betreibers/der Redaktion bzw. von Krone Multimedia (KMM) wieder. In diesem Sinne distanziert sich die Redaktion/der Betreiber von den Inhalten in diesem Diskussionsforum. KMM behält sich insbesondere vor, gegen geltendes Recht verstoßende, den guten Sitten oder der Netiquette widersprechende bzw. dem Ansehen von KMM zuwiderlaufende Beiträge zu löschen, diesbezüglichen Schadenersatz gegenüber dem betreffenden User geltend zu machen, die Nutzer-Daten zu Zwecken der Rechtsverfolgung zu verwenden und strafrechtlich relevante Beiträge zur Anzeige zu bringen (siehe auch AGB).
Werbung
Jetzt online spielen!
Werbung
Angaben gem ECG und MedienGesetz: Medieninhaber, Hersteller und Herausgeber bzw. Diensteanbieter
Krone Multimedia GmbH & Co KG (FBN 189730s; HG Wien) Internetdienste; Muthgasse 2, 1190 Wien
Krone Multimedia © 2016 krone.at | Impressum