Fitness-Tracker weiterhin mit hohen Sicherheitsrisiken

Eine Untersuchung von AV-Test zeigt, dass die Hersteller von Fitnessarmbändern dem Punkt Sicherheit weiterhin nicht ausreichende Beachtung schenken.

In Pocket speichern vorlesen Druckansicht 44 Kommentare lesen
Fitness-Tracker mit

(Bild: AV-Test)

Lesezeit: 5 Min.
Von
  • Nico Jurran
Inhaltsverzeichnis

Das Testlabor AV-Test hat sich die sieben Fitness-Armbänder Basis Peak, Microsoft Band 2, Mobile Action Q-Band, Pebble Time, Runtastic Moment Elite, Striiv Fusion, Xiaomi MiBand auf zwei Fragestellungen hin angeschaut. Zum einen ging es darum, ob die erfassten Daten im Tracker und in der App aus der Sicht des privaten Nutzers sicher gegen das Ausspähen oder Abgreifen von Dritten sind. Zum anderen wurde untersucht, ob die Daten im Tracker oder in der App ausreichend gegen Manipulationen gesichert sind, um beispielweise von Krankenkassen genutzt werden zu können.

Jedes Fitness-Armband wurde insgesamt nach 10 Prüfpunkten untersucht, eingeteilt in die drei Bereiche Tracker, Applikation und Online-Kommunikation. Die Ergebnisse sind teilweise recht ernüchternd.

Pebble Time: Bei diesem Fitness-Armband fanden sich im Testvon AV-Test die wenigsten Risikopunkte.

(Bild: Pebble)

Da alle getesteten Fitness-Tracker zur Verbindung mit dem Smartphone Bluetooth Smart benutzen, wurde geprüft, ob die Geräte über das Funkprotokoll sichtbar – und damit eventuell trackbar – sind. Diese Sicherheit bieten laut AV-Test nur die Armbänder von Microsoft und Pebble. Mobile Action will das zwar auch können, ist aber dennoch auffindbar. Eine Abwehr gegen das Tracking ist die sogenannte "BLE-Privacy"-Funktion, bei der das Gerät immer wieder eine neue Mac-Adresse generiert. Diese Technik nutzt jedoch nur das Microsoft Band 2, alle anderen Testgeräte kennen die Technik nicht.

Das Band 2 gehört zudem zu den wenigen Geräten, die neben dem Basis Peak ein exklusives Bluetooth-Pairing nutzen, sodass der Tracker nur die Verbindung zu einem einzigen, bekannten Telefon zulässt. Die Pebble Time lässt zwar Verbindungen mit mehreren Geräten zu, aber jede davon muss der Nutzer manuell bestätigen; auch das ist sicher.

Das Xiaomi MiBand geht einen einfachen, aber ebenfalls sicheren Weg: nach einem geglückten Pairing ist es nicht mehr sichtbar und lässt keine weitere Verbindung zu. Die Armbänder von Striiv, Runtastic und Mobile Action nutzen keine verlässliche Technik, um auch Verbindungen mit fremden Geräten zu unterbinden. Die Authentifizierung nutzen wiederum nur 3 von 7 Produkten: Basis Peak, Microsoft Band 2 und Pebble Time.

Nur für die Produkte von Basis, Microsoft, Pebble und Xiaomi existiert für die im Tracker gespeicherten Daten eine Integritätssicherung oder ein Zugriffsschutz, sodass der Zugriff von Fremden verhindert und auch die Manipulation der Daten durch den Smartphone-Besitzer ausgeschlossen wird. Die schwache Authentifizierung des Geräts von Xiaomi ließ sich jedoch austricksen, sodass für einen Fremden möglich wäre, das Armband vibrieren zu lassen, Weckzeiten zu verändern oder gar den Tracker vollständig auf Werkseinstellungen zurückzusetzen.

Die Fitness-Tracker von Striiv und Mobile Action nutzen keine adäquate und funktionierende Authentifizierung oder andere Schutzmechanismen und sind so für Manipulationen anfällig. Bei der Striiv Fusion konnten die Werte für Körperabmessungen des Nutzers auf übermenschliche Werte geändert werden. Diese flossen dann direkt in die Berechnung von Distanz und Kalorienverbrauch ein. Beim Tracker von Mobile Action war es im Test ebenfalls möglich, die gespeicherten Nutzerinformationen zu Gewicht, Größe, Schrittweite usw. zu ändern. Diese Werte gingen dann auch direkt in die Berechnung des Kalorienverbrauchs und der zurückgelegten Strecke ein.

Testumgebung: Die Fitness-Tracker wurden mit dem Smartphone verbunden, die Hersteller-Apps untersucht, per Test-App versucht auszutricksen und die Verbindungen mit einem Proxy belauscht.

(Bild: AV-Test)

Auch wenn die Technik eines Trackers sicher ist, so kann die dazugehörige App auf dem Smartphone die Schwachstelle sein. So legte das Xiaomi MiBand tatsächlich eine ausführliche Log-Datei über die gesamte App-Aktivität in einem völlig offenen Bereich ab. In diesem Log stecken alle übermittelten Daten, sowie Nutzerinformationen, Alias, Körperabmessungen und vieles mehr, das auch für den Authentifizierungsprozess verwendet wird.

Bei der zweiten Prüfung geht es um die unsaubere Programmierung der Apps. Es wurde gecheckt, ob die Apps Code-Verschleierung (Obfuscation) nutzen. Auffällig waren hier laut AV-Test die Apps von Basis und von Runtastic, die Obfuscation nicht konsequent einsetzen. Die Produkte von Microsoft und Striiv verwenden Obfuscation sogar gar nicht. So können Angreifer Reverse-Engineering nutzen und nützliche Informationen abgreifen. Ein häufiger Programmierfehler war die Ausgabe von Log- oder Debug-Informationen.

Immerhin: Alle Verbindungen, die verschlüsselt sein sollten, sind es auch. Abgefangene offene HTTP-Verbindungen waren ohne Wert – und daher wohl unverschlüsselt.

Am Ende schnitten die Modelle Pebble Time, Basis Peak und Microsoft Band 2 am besten bei AV-Test ab, Runtastic, Striiv und Xiaomi sammelte wiederum am meisten Risikopunkte ein. Die umfangreiche Sicherheitsstudie zum Test der Fitness-Tracker lässt sich auch in einer PDF-Datei nachlesen, die das Labor ausgearbeitet hat. Die ersten Fitness-Armbänder hatte AV-Test bereits im vergangenen Jahr auf Sicherheitslücken untersucht. (nij)