Nachgebaute App überlistet Fitness-Tracker

Der Fitness-Tracker "Acer Liquid Leap" lässt sich mit einer nachgebauten App gezielt manipulieren. Viele Devices sollten daher am Sicherheitskonzept arbeiten. Zu diesem Schluss kommt das IT-Security-Unternehmen AV-Test, das neun Geräte näher unter die Lupe genommen hat. Besonders das Fitness-Armband "FitBit Charge", das sich mit jedem Smartphone verbindet und über Bluetooth verfügt, hat für Verwunderung gesorgt. Ohne Pin oder andere Authentifizierungen werden Daten an Dritte weitergegeben. [...]

„Acer, Fitbit und LG haben insgesamt weniger an Sicherheit gedacht als etwa Sony, das nur einen Kritikpunkt in unserem Test aufweist“, erklärt AV-Test-CEO Andreas Marx gegenüber dem Nachrichtenportal pressetext. Sitze ein Angreifer nahe genug am Tracker, so seien die Angriffe via Bluetooth am relevantesten. „Der Angreifer kann natürlich auch Daten während des Zugriffs auf die Cloud abfangen – also wenn die Fitness-App Daten ins Internet überträgt oder vor dort aus Informationen lädt“, ergänzt der Experte. Hier wäre etwa der Zugriff in einem öffentlichen WLAN denkbar oder auch von einem Geheimdienst.

In einem Versuch hat AV-Test selbst eine Fitness-App erstellt, welche den Acer-Tracker tatsächlich wie die Original-App angesprochen hat. So konnten die Tester ohne Weiteres an die Daten herankommen, diese zum Teil manipulieren und wieder zurückschicken. Dadurch war es ihnen möglich, Alarme zu verändern sowie den Nutzer aus dem Armband zu löschen.

„Hierbei muss unterschieden werden, ob ich die Daten nutzen möchte, um beispielsweise weniger für meine Krankenversicherung zu zahlen, oder nur jemanden ärgern will, indem ich seine Daten lösche“, fügt Marx hinzu. Bei diesem Produkt handelt es sich um ein Fitness-Device, das lediglich von Acer gekauft wurde. Laut Testbericht sind gerootete Smartphones besonders gefährdet. Dabei wird der geschützte Speicher, in denen viele Fitness-Apps ihre Daten ablegen, freigelegt.

VERSCHLEIERTER CODE
Den Ergebnissen zufolge lässt sich die Bluetooth-Verbindung nur bei den Devices „Garmin Vivosmart“ und „LG Lifeband Touch“ manuell deaktivieren. Die Gadgets von Sony, Polar und Withings sind nach einmaligem Paaren nicht mehr sichtbar für andere Geräte. Der Huawei-Tracker deaktiviert Bluetooth, wenn für längere Zeit keine Verbindung zu einem Smartphone besteht. Obwohl das „Jawbone-Band“ nach der Verbindung verborgen für andere Handys ist, bleibt es für mehrere Stunden sichtbar, wenn die Verbindung abbricht. Bei allen anderen Bändern bleibt Bluetooth aktiv und bietet somit eine ideale Angriffsfläche für Datendiebe.

Weitere Schwachstellen haben sich bei den Smartphone-Apps der Fitness-Tracker offenbart. Nur fünf der neun Fitness-Apps verschleiern ihren Code ausreichend. Die drei Modelle von Acer, Garmin und LG verstauen zumindest ihre Kommunikations-Protokolle in verteilten Programm-Bibliotheken. Diese Methode kann ebenfalls vor einer Code-Analyse schützen. Schutztechniken werden lediglich von Polar und Sony genutzt. Dennoch geben die Apps von Polar und LG Log-Informationen aus, die von Angeifern genutzt werden können, um den Code zu entschlüsseln, selbst wenn dieser effektiv verschleiert ist.

Getestet wurden die Armbänder „Acer Liquid Leap“, „FitBit Charge“, „Garmin Vivosmart“, „Huawei TalkBand B1“, „Jawbone Up24“, „LG Lifeband Touch FB84“, „Polar Loop“, „Sony Smartband Talk SWR30“ und „Withings Pulse Ox“. Im ersten Testschritt wurden die Auswertungs-Apps für die Fitness-Daten auf den Test-Smartphones installiert. Anschließend sind die Fitness-Tracker via Bluetooth mit den Smartphones verbunden worden. (pte)


Mehr Artikel

News

Bad Bots werden immer menschenähnlicher

Bei Bad Bots handelt es sich um automatisierte Softwareprogramme, die für die Durchführung von Online-Aktivitäten im großen Maßstab entwickelt werden. Bad Bots sind für entsprechend schädliche Online-Aktivitäten konzipiert und können gegen viele verschiedene Ziele eingesetzt werden, darunter Websites, Server, APIs und andere Endpunkte. […]

Frauen berichten vielfach, dass ihre Schmerzen manchmal jahrelang nicht ernst genommen oder belächelt wurden. Künftig sollen Schmerzen gendersensibel in 3D visualisiert werden (c) mit KI generiert/DALL-E
News

Schmerzforschung und Gendermedizin

Im Projekt „Embodied Perceptions“ unter Leitung des AIT Center for Technology Experience wird das Thema Schmerzen ganzheitlich und gendersensibel betrachtet: Das Projektteam forscht zu Möglichkeiten, subjektives Schmerzempfinden über 3D-Avatare zu visualisieren. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*