Mangelnder Datenschutz in Apple Watch & Co.: Verbraucherschützer mahnen Wearable-Hersteller ab

Inhaltsverzeichnis

Die Verbrauchzentrale NRW hat mehrere bekannte Anbieter von Wearables und Fitness-Apps wegen Datenschutzmängeln abgemahnt – darunter auch Apple als Hersteller der Apple Watch. In einer technischen Untersuchung führen die Verbraucherschützer im Detail auf, welche Probleme bei den Fitnesstrackern und Apps jeweils festgestellt wurden: Der Analyse zufolge senden alle getesteten Geräte außer Samsungs Gear S2 und Withings’ Activité “Advertising Packets”, die auch die MAC-Adresse (Media Access Control) enthält und das Gerät damit eindeutig identifizierbar macht.

Angreifer sind so theoretisch in der Lage, den Nutzer an verschiedenen Orten durch Bluetooth-Messpunkte zu erfassen und so ein Bewegungsprofil zu erstellen. In der Praxis dürfte sich das aufgrund der vergleichsweise geringen Bluetooth-Reichweite und der zahlreichen zu installierenden Bluetooth-Messpunkte allerdings nur relativ aufwändig umsetzen lassen. Zudem übermitteln die Geräte ihre MAC-Adresse nur, solange sie gerade nicht mit einem Smartphone verbunden sind.

Apple Watch angeblich ohne MAC-Randomisierung

Die MAC-Adresse der Apple Watch ändert sich nach Ermittlung der Verbraucherschützer zwar während des Installationsprozesses, “bleibt jedoch zu weiteren Messzeitpunkten konstant”. Eine vorausgehende Studie von Sicherheitsforschern der Universität Toronto kam zu einem gegenteiligen Ergebnis: Die Apple Watch war dort das einzige Wearable im Testfeld, das die MAC-Adresse alle 10 Minuten ändert – um ein Tracking zu verhindern. Warum die Tests unterschiedlich ausfallen, bleibt unklar. Beide Studien wurden noch mit watchOS 2 durchgeführt, derzeit ist watchOS 3 aktuell.

Bild 1 von 3

Apple Watch: Abmahnung der Verbrauchschützer für Fitnesstracker-Hersteller (3 Bilder)

Zur Verbindungsaufnahme mit den Servern des Herstellers setzen alle Fitness-Tracker respektive die zugehörigen Apps auf eine per https verschlüsselte Verbindung. Als einziger Anbieter nutzt Apple zusätzlich Certificate Pinning, um genau festzulegen, an welchen Server die Daten tatsächlich übermittelt werden dürfen: Dadurch wurde es für die Studie unmöglich, den Datenverkehr der Apple Watch und der zugehörigen iOS-Apps Apple Health und Aktivität mitzuschneiden sowie zu analysieren. Entsprechend bleibt unklar, ob überhaupt und welche Gesundheitsdaten an den Hersteller übermittelt werden. Der Abruf von Kartenmaterial über Apple Maps erfolgt allerdings unverschlüsselt, merken die Verbraucherschützer an.

Fitnessdaten landen nur unter bestimmten Voraussetzungen auf Apples Servern

Apple selbst betont, dass die Gesundheitsdaten nur erfasst würden, der Nutzer muss einer Weitergabe der in Apple Health gespeicherten Daten – etwa an andere Apps und Dienste – jeweils einzeln zustimmen. Auch können Nutzer ihre aktuellen Health-Daten nur auf dem iPhone einsehen, nicht aber auf anderen eigenen Geräten. Die Fitnessdaten landen allerdings als Teil des standardmäßig aktiven iCloud-Backups auf Apples Servern. Der Konzern will inzwischen außerdem Fitnessdaten zur Analyse und Weiterentwicklung sammeln – dafür fragt die Health-App um Erlaubnis. Wenn Nutzer ihre Bewegungsdaten mit Freunden teilen und vergleichen wollen, werden diese ebenfalls an Apple-Server übermittelt.

Apple gehört zu den wenigen Anbietern, deren Apps aber keinerlei Daten an Drittanbieter übermitteln, schreiben die Verbraucherschützer. Andere Dienste senden Daten gleich an mehrere Drittanbieter, bei MyFitnessPal sollen es gleich zehn Dienste von anderen Firmen sein, “darunter befinden sich vor allem Werbe- und Analytics-Anbieter”.

Probleme bei der Datenschutzerklärung

Bei der Datenschutzerklärung bemängeln die Verbraucherschützer, dass Apple zwar auf die mögliche Übertragung der Daten ins Nicht-EU-Ausland hinweist, sich aber noch “auf die für unwirksam erklärte Safe-Harbor-Vereinbarung” bezieht – und auch keine separate Einwilligung des Nutzer für die Datenübertragung in die USA einholt. Um Apples gesamte Datenschutzerklärung zu lesen, benötige man über 12 Minuten – eine der längsten Datenschutzerklärungen im Testfeld. (lbe)