Nachgebaute App überlistet Fitness-Tracker

Der Fitness-Tracker "Acer Liquid Leap" lässt sich mit einer nachgebauten App gezielt manipulieren. Viele Devices sollten daher am Sicherheitskonzept arbeiten. Zu diesem Schluss kommt das IT-Security-Unternehmen AV-Test, das neun Geräte näher unter die Lupe genommen hat. Besonders das Fitness-Armband "FitBit Charge", das sich mit jedem Smartphone verbindet und über Bluetooth verfügt, hat für Verwunderung gesorgt. Ohne Pin oder andere Authentifizierungen werden Daten an Dritte weitergegeben. [...]

„Acer, Fitbit und LG haben insgesamt weniger an Sicherheit gedacht als etwa Sony, das nur einen Kritikpunkt in unserem Test aufweist“, erklärt AV-Test-CEO Andreas Marx gegenüber dem Nachrichtenportal pressetext. Sitze ein Angreifer nahe genug am Tracker, so seien die Angriffe via Bluetooth am relevantesten. „Der Angreifer kann natürlich auch Daten während des Zugriffs auf die Cloud abfangen – also wenn die Fitness-App Daten ins Internet überträgt oder vor dort aus Informationen lädt“, ergänzt der Experte. Hier wäre etwa der Zugriff in einem öffentlichen WLAN denkbar oder auch von einem Geheimdienst.

In einem Versuch hat AV-Test selbst eine Fitness-App erstellt, welche den Acer-Tracker tatsächlich wie die Original-App angesprochen hat. So konnten die Tester ohne Weiteres an die Daten herankommen, diese zum Teil manipulieren und wieder zurückschicken. Dadurch war es ihnen möglich, Alarme zu verändern sowie den Nutzer aus dem Armband zu löschen.

„Hierbei muss unterschieden werden, ob ich die Daten nutzen möchte, um beispielsweise weniger für meine Krankenversicherung zu zahlen, oder nur jemanden ärgern will, indem ich seine Daten lösche“, fügt Marx hinzu. Bei diesem Produkt handelt es sich um ein Fitness-Device, das lediglich von Acer gekauft wurde. Laut Testbericht sind gerootete Smartphones besonders gefährdet. Dabei wird der geschützte Speicher, in denen viele Fitness-Apps ihre Daten ablegen, freigelegt.

VERSCHLEIERTER CODE
Den Ergebnissen zufolge lässt sich die Bluetooth-Verbindung nur bei den Devices „Garmin Vivosmart“ und „LG Lifeband Touch“ manuell deaktivieren. Die Gadgets von Sony, Polar und Withings sind nach einmaligem Paaren nicht mehr sichtbar für andere Geräte. Der Huawei-Tracker deaktiviert Bluetooth, wenn für längere Zeit keine Verbindung zu einem Smartphone besteht. Obwohl das „Jawbone-Band“ nach der Verbindung verborgen für andere Handys ist, bleibt es für mehrere Stunden sichtbar, wenn die Verbindung abbricht. Bei allen anderen Bändern bleibt Bluetooth aktiv und bietet somit eine ideale Angriffsfläche für Datendiebe.

Weitere Schwachstellen haben sich bei den Smartphone-Apps der Fitness-Tracker offenbart. Nur fünf der neun Fitness-Apps verschleiern ihren Code ausreichend. Die drei Modelle von Acer, Garmin und LG verstauen zumindest ihre Kommunikations-Protokolle in verteilten Programm-Bibliotheken. Diese Methode kann ebenfalls vor einer Code-Analyse schützen. Schutztechniken werden lediglich von Polar und Sony genutzt. Dennoch geben die Apps von Polar und LG Log-Informationen aus, die von Angeifern genutzt werden können, um den Code zu entschlüsseln, selbst wenn dieser effektiv verschleiert ist.

Getestet wurden die Armbänder „Acer Liquid Leap“, „FitBit Charge“, „Garmin Vivosmart“, „Huawei TalkBand B1“, „Jawbone Up24“, „LG Lifeband Touch FB84“, „Polar Loop“, „Sony Smartband Talk SWR30“ und „Withings Pulse Ox“. Im ersten Testschritt wurden die Auswertungs-Apps für die Fitness-Daten auf den Test-Smartphones installiert. Anschließend sind die Fitness-Tracker via Bluetooth mit den Smartphones verbunden worden. (pte)


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*