Immer mehr Technik soll unser Leben einfacher machen. Ein Beispiel dafür sind Fitness-Armbänder, mit denen man die eigene Gesundheit im Auge behalten und Trainingsfortschritte besser nachvollziehen kann. Ob die dabei erhobenen Daten auch vor Zugriff durch Unbefugte sicher sind, hat jetzt das unabhängige Labor AV-Test überprüft. Die Ergebnisse waren zum Teil ernüchternd.
Schon das Pairing ist nicht immer sicher
Auf dem Prüfstand der Experten landete das Acer Liquid Leap, das FitBit Charge, Garmins Vivosmart, das TalkBand B1 vom chinesischen Hersteller Huawei, das Jawbone Up24, LGs Lifeband Touch FB84, das Polar Loop, das Smartband Talk SWR30 von Sony und Withings Pulse O. Im Test wollte man herausfinden, wie einfache es diese Geräte Angreifern machen, Daten des Nutzers abzugreifen und musste feststellen, dass sich längst nicht alle Hersteller an gängige Praktiken zur Absicherung halten.
Fehler tauchten schon beim Aufbau der Verbindung zwischen Smartphone und Armband via Bluetooth auf. Sollte diese eigentlich mit einer PIN abgesichert sein, genügte es bei einigen Geräten schon, „Ok“ zu drücken. So könnten theoretisch auch andere Smartphones Kontakt aufnehmen. Dadurch, dass fünf der getesteten Fitness-Tracker auch nach dem Koppeln mit dem Smartphone sichtbar blieben, machen diese es Angreifern besonders leicht.
Experten bauen Hersteller-Apps mit neuen Funktionen nach
Ein Activity Tracker (auch Fitness-Armband, Smart Band oder Fitness Tracker) ist ein Gerät oder eine Applikation zur Aufzeichnung und Versendung Fitness-relevanter Daten wie etwa Laufstrecken, Kalorienverbrauch oder Herzschlagfrequenz. |
Allerdings musste nicht immer die richtige App auf den Geräten vorhanden sein. Im Falle von Acer gelang es den Experten von AV-Test, eine eigene Anwendung zu entwickeln, mit der die Daten des Armbands ausgelesen und sogar verändert werden konnten. Der Hersteller hatte es versäumt, den Quellcode zu verschleiern und so die Funktionsweise offengelegt. Nicht ganz so dramatisch waren Fehler bei den Anwendungen von Polar und LG, die Debug- und Log-Informationen enthielten, die Aufschluss über die Arbeitsweise der Anwendungen liefern.
Trotz dieses Mangels wurde das Polar Loop zusammen mit Sonys Smartband als sicherstes Produkt eingestuft. Die schlechteste Bewertung kassierte Acer, weil Angriffe hier nach Ansicht der Experten die größten Chancen auf Erfolg hätten.