Der Fitness-Tracker "Acer Liquid Leap" lässt sich mit einer nachgebauten App gezielt manipulieren. Viele Devices sollten daher am Sicherheitskonzept arbeiten. Zu diesem Schluss kommt das IT-Security-Unternehmen AV-Test, das neun Geräte näher unter die Lupe genommen hat. Besonders das Fitness-Armband "FitBit Charge", das sich mit jedem Smartphone verbindet und über Bluetooth verfügt, hat für Verwunderung gesorgt. Ohne Pin oder andere Authentifizierungen werden Daten an Dritte weitergegeben. [...]
„Acer, Fitbit und LG haben insgesamt weniger an Sicherheit gedacht als etwa Sony, das nur einen Kritikpunkt in unserem Test aufweist“, erklärt AV-Test-CEO Andreas Marx gegenüber dem Nachrichtenportal pressetext. Sitze ein Angreifer nahe genug am Tracker, so seien die Angriffe via Bluetooth am relevantesten. „Der Angreifer kann natürlich auch Daten während des Zugriffs auf die Cloud abfangen – also wenn die Fitness-App Daten ins Internet überträgt oder vor dort aus Informationen lädt“, ergänzt der Experte. Hier wäre etwa der Zugriff in einem öffentlichen WLAN denkbar oder auch von einem Geheimdienst.
In einem Versuch hat AV-Test selbst eine Fitness-App erstellt, welche den Acer-Tracker tatsächlich wie die Original-App angesprochen hat. So konnten die Tester ohne Weiteres an die Daten herankommen, diese zum Teil manipulieren und wieder zurückschicken. Dadurch war es ihnen möglich, Alarme zu verändern sowie den Nutzer aus dem Armband zu löschen.
„Hierbei muss unterschieden werden, ob ich die Daten nutzen möchte, um beispielsweise weniger für meine Krankenversicherung zu zahlen, oder nur jemanden ärgern will, indem ich seine Daten lösche“, fügt Marx hinzu. Bei diesem Produkt handelt es sich um ein Fitness-Device, das lediglich von Acer gekauft wurde. Laut Testbericht sind gerootete Smartphones besonders gefährdet. Dabei wird der geschützte Speicher, in denen viele Fitness-Apps ihre Daten ablegen, freigelegt.
VERSCHLEIERTER CODE
Den Ergebnissen zufolge lässt sich die Bluetooth-Verbindung nur bei den Devices „Garmin Vivosmart“ und „LG Lifeband Touch“ manuell deaktivieren. Die Gadgets von Sony, Polar und Withings sind nach einmaligem Paaren nicht mehr sichtbar für andere Geräte. Der Huawei-Tracker deaktiviert Bluetooth, wenn für längere Zeit keine Verbindung zu einem Smartphone besteht. Obwohl das „Jawbone-Band“ nach der Verbindung verborgen für andere Handys ist, bleibt es für mehrere Stunden sichtbar, wenn die Verbindung abbricht. Bei allen anderen Bändern bleibt Bluetooth aktiv und bietet somit eine ideale Angriffsfläche für Datendiebe.
Weitere Schwachstellen haben sich bei den Smartphone-Apps der Fitness-Tracker offenbart. Nur fünf der neun Fitness-Apps verschleiern ihren Code ausreichend. Die drei Modelle von Acer, Garmin und LG verstauen zumindest ihre Kommunikations-Protokolle in verteilten Programm-Bibliotheken. Diese Methode kann ebenfalls vor einer Code-Analyse schützen. Schutztechniken werden lediglich von Polar und Sony genutzt. Dennoch geben die Apps von Polar und LG Log-Informationen aus, die von Angeifern genutzt werden können, um den Code zu entschlüsseln, selbst wenn dieser effektiv verschleiert ist.
Getestet wurden die Armbänder „Acer Liquid Leap“, „FitBit Charge“, „Garmin Vivosmart“, „Huawei TalkBand B1“, „Jawbone Up24“, „LG Lifeband Touch FB84“, „Polar Loop“, „Sony Smartband Talk SWR30“ und „Withings Pulse Ox“. Im ersten Testschritt wurden die Auswertungs-Apps für die Fitness-Daten auf den Test-Smartphones installiert. Anschließend sind die Fitness-Tracker via Bluetooth mit den Smartphones verbunden worden. (pte)
Be the first to comment