Lauschangriff auf Fitness-Tracker

Datenarmbänder für Sport und Gesundheit sind beliebt. Doch viele Modelle haben gravierende Schwachstellen und bieten Hackern ganz leicht Zugang zu sensiblen Daten.

Fitness-Armbänder speichern und übertragen Daten aus sportlichen Aktivitäten direkt auf das Smartphone und übertragen sie danach in eine Cloud-Datenbank diverser App-Dienste. So lassen sich schöne Vergleiche über Laufstrecken und medizinische Analysen beispielsweise der Herzfrequenz oder ähnliche individuelle Vitalfunktionen erstellen. Eigentlich müssten Nutzer davon ausgehen, dass die Hersteller von Trackern und entsprechender Apps solche Daten vor unbefugten Zugriffen schützen. Doch weit gefehlt, wie das Fazit einer erschreckenden Studie von AV-Test zeigt.

Das Ergebnis des Sicherheitschecks fiel nämlich alarmierend aus: Nur wenige Fitness-Armbänder haben ein geringes Sicherheitsrisiko. Einigen Herstellern wurden anschließend dringend Umbauarbeiten an ihrem Sicherheitskonzept geraten.

Getestet wurden das Acer Liquid Leap, FitBit Charge, Garmin Vivosmart, Huawei TalkBand B1, Jawbone Up24, LG Lifeband Touch FB84, Polar Loop, Sony Smartband Talk SWR30 und das Withings Pulse Ox. Alle Fitness-Armbänder arbeiten mit einer Bluetooth-Verbindung. Dieses Pairing der Geräte wurde unter die Lupe genommen. Das Ergebnis: Die Bluetooth-Verbindung lässt sich nur bei den Produkten Garmin Vivosmart und LG Lifeband Touch Bluetooth manuell deaktivieren. Die Tracker von Sony, Polar und Withings sind nach dem Paaren nicht mehr sichtbar für andere Bluetooth-Geräte. Das Huawei-Band deaktiviert Bluetooth, wenn es für längere Zeit die Verbindung zum gepaarten Smartphone verliert. Das Jawbone-Band ist zwar nach dem Pairing auch unsichtbar für andere Geräte, aber verliert es die Verbindung, dann bleibt es zum Teil für mehrere Stunden sichtbar.

Bei allen anderen Bändern bleibt Bluetooth aktiv und somit sichtbar für andere Bluetooth-Geräte, was Hacker für einen potentiellen Angriff ausnutzen können. Zum Verbinden von Armband und Smartphone reicht bei einigen Produkten jeweils das Bestätigen eines angezeigten Hinweises mit "OK". Das Sony Smartband SWR30 verbindet sich auch automatisch via NFC, aber nur mit bekannten, vertrauten Geräten. Andere zeigen eine PIN an, die eingegeben werden muss. Bei einem Gerät stellten die Tester fest, dass die geforderte PIN für findige Geister und geübte Hacker so gut wie mitgeliefert wird. Der Fitness-Tracker FitBit Charge beispielsweise nahm jegliche Anfrage zur Paarung via Bluetooth an, riskanter weise auch von fremden Smartphones. Das ist natürlich fatal.

Ist die Verbindung zwischen Armband und Smartphone nicht zu knacken, heißt das aber noch lange nicht, dass der Tracker sicher ist. Die nächste von AV-Test untersuchte Schwachstelle ist nämlich die Smartphone-App, die für das Speichern und Übertragen der Fitness-Daten zuständig ist. Hier stellten die Tester ebenfalls gravierende Mängel fest. So könnte eine vermeintliche Spiele-App etwa verbundene Tracker nach den Daten fragen. Die Tester fanden zudem heraus, dass nur fünf der neun Fitness-Apps effektiv ihren Code verschleiern. Von den übrigen vier verteilen immerhin drei, nämlich Acer, Garmin und LG, ihre Kommunikations-Protokolle in verschiedenen Programm-Bibliotheken. Dies kann auch ein wirksamer Weg zum Schutz der Code-Analyse durch Angreifer sein. Lediglich die Apps von Polar und Sony nutzen beide Schutztechniken.

Die beiden Produkte Sony Smartband Talk SWR30 und die Polar Loop überzeugten AV-Test noch am meisten. Ihr Sicherheitskonzept sei allen anderen überprüften Trackern überlegen. Dagegen müsse man beim Acer Liquid Leap damit rechnen, dass ein Angriff auf dieses Fitness-Band am erfolgreichsten sein könnte. Die Studie hat AV-Test auf seiner Internetseite veröffentlicht (www.av-test.org/de/pdfnews/221).

Bildquelle: Huawei

Die mit einem * markierten Felder sind Pflichtfelder.