Fitness-Armbänder zeigen Sicherheitsrisiken
Fitnessarmbänder sind trendy, aber auch ein Sicherheitsrisiko. Das Institut AV-Test hat die Ergebnisse ihres Vergleichstests in puncto Sicherheit bei Fitness-Armbändern vorgestellt.
Fitnessarmbänder sind trendy, aber auch ein Sicherheitsrisiko. Das Institut AV-Test hat die Ergebnisse ihres Vergleichstests in puncto Sicherheit bei Fitness-Armbändern vorgestellt.
Smart Wearables bestechen mit ihren neuen technischen Einsatzmöglichkeiten beim Sport.
Fitness-Armbänder übertragen und speichern die Daten sportlicher Aktivitäten direkt auf das Smartphone. Danach landen die erhobenen Daten des Users in der Cloud. Die auf Antiviren-Software spezialisierte Firma AV-Test stellte die Frage, ob die Daten auf dem Weg vom Armband zum Smartphone sicher sind oder ob sich hier vielleicht jemand einklinken, die Daten kopieren oder sogar manipulieren könnte. Neun Fitness-Armbänder wurden getestet. Alle Armbänder wurden via Bluetooth mit dem Smartphone gepaart. Zusätzlich zur Hersteller-App wurde getestet, ob eine selbstgebaute App zum Abfangen der Daten genutzt werden kann.
Das Ergebnis des Sicherheitschecks fiel alarmierend aus: Nur wenige Fitness-Armbänder, auch Tracker genannt, haben ein geringes Sicherheitsrisiko (AV-TEST 06/2015). Einigen Herstellern wurden anschließend dringend Umbauarbeiten an ihrem Sicherheitskonzept geraten. Getestet wurden das Acer Liquid Leap, FitBit Charge, Garmin Vivosmart, Huawei TalkBand B1, Jawbone Up24, LG Lifeband Touch FB84, Polar Loop, Sony Smartband Talk SWR30 und das Withings Pulse Ox.
Alle Fitness-Armbänder arbeiten mit einer Bluetooth-Verbindung. Dieses Pairing der Geräte wurde unter die Lupe genommen. Das Ergebnis: Die Bluetooth-Verbindung lässt sich nur bei den Produkten Garmin Vivosmart und LG Lifeband Touch manuell deaktivieren. Die Tracker von Sony, Polar und Withings sind nach dem Paaren nicht mehr sichtbar für andere Bluetooth-Geräte. Das Huawei-Band deaktiviert Bluetooth, wenn es für längere Zeit die Verbindung zum gepaarten Smartphone verliert. Das Jawbone-Band ist zwar nach dem Pairing auch unsichtbar für andere Geräte, aber verliert es die Verbindung, dann bleibt es zum Teil für mehrere Stunden sichtbar.
Bei allen anderen Bändern bleibt Bluetooth aktiv und somit sichtbar für andere Bluetooth-Geräte, was Hacker für einen potentiellen Angriff ausnutzen können. Zum Verbinden von Armband und Smartphone reicht bei einigen Produkten jeweils das Bestätigen eines angezeigten Hinweises mit »OK«. Das Sony Smartband SWR30 verbindet sich auch automatisch via NFC, aber nur mit bekannten, vertrauten Geräten. Andere zeigen eine PIN an, die eingegeben werden muss. Bei einem Gerät stellten die Tester fest, dass die geforderte PIN für findige Geister und geübte Hacker so gut wie mitgeliefert wird. Der Fitness-Tracker FitBit Charge beispielsweise nahm jegliche Anfrage zur Paarung via Bluetooth an, riskanterweise auch von fremden Smartphones. Das ist natürlich fatal.
Ist die Verbindung zwischen Armband und Smartphone nicht zu knacken, heißt das aber noch lange nicht, dass der Tracker sicher ist. Die nächste von AV-Test untersuchte Schwachstelle ist nämlich die Smartphone-App, die für das Speichern und Übertragen der Fitness-Daten zuständig ist. Hier stellten die Tester ebenfalls gravierende Mängel fest. So könnte eine vermeintliche Spiele-App etwa verbundene Tracker nach den Daten fragen.
Die Tester fanden zudem heraus, dass nur fünf der neun Fitness-Apps effektiv ihren Code verschleiern. Von den übrigen vier verteilen immerhin drei, nämlich Acer, Garmin und LG, ihre Kommunikations-Protokolle in verschiedenen Programm-Bibliotheken. Dies kann auch ein wirksamer Weg zum Schutz der Code-Analyse durch Angreifer sein. Lediglich die Apps von Polar und Sony nutzen beide Schutztechniken.
Die beiden Produkte Sony Smartband Talk SWR30 und die Polar Loop überzeugten AV-Test noch am meisten. Ihr Sicherheitskonzept sei allen anderen überprüften Trackern überlegen. Dagegen müsse man beim Acer Liquid Leap damit rechnen, dass ein Angriff auf dieses Fitness-Band am erfolgreichsten sein könnte. Die Studie hat AV-Test auf seiner Internetseite veröffentlicht (www.av-test.org/de/pdfnews/221).
