Sicherheitsrisiko Fitnessarmband

Der Kaspersky-Experte Roman Unucheck hat die Sicherheit aktueller Fitnessarmbänder und deren Interaktion mit Smartphones untersucht. Dabei zeigte sich: Die Geräte sind einfach zu manipulieren und erlauben Dritten Zugriff auf die Daten der Träger. Vor allem bei kommenden Wearable-Geräten mit erweitertem Funktionsumfang sollten IT-Sicherheitsaspekte mit in Betracht gezogen werden – gerade wenn zunehmend sensitive medizinische Daten im Spiel sind. [...]

Am Körper getragene Mini-Computer halten zunehmend Einzug in unseren Alltag. Laut einer aktuellen Umfrage von PricewaterhouseCoopers (PwC) besitzen beispielsweise bereits 17 Prozent der Deutschen ein Wearable-Gerät. Potenzielle Nutzer interessieren sich vor allem für Fitnessarmbänder und Smartwatches.

Nachdem Kaspersky Lab bereits im vergangenen Jahr auf Schwachstellen bei intelligenten Uhren und Brillen hingewiesen hat, illustriert die aktuelle Proof-of-Concept-Studie von Kaspersky Lab, wie persönliche Informationen, beispielsweise Schrittzählungen oder Informationen zu Schlafphasen, in falsche Hände gelangen können. So ermöglicht die Authentifizierungsmethodik zahlreicher beliebter intelligenter Armbänder, dass Fremde sich unbemerkt vom Nutzer mit dem Gerät verbinden, dort Kommandos ausführen und in einigen Fällen sogar auf dem Gerät gespeicherte Daten entwenden können.

Grundsätzlich wird der unerwünschte Zugriff auf Fitness-Tracker über deren Verbindung zu Smartphones ermöglicht. Die Kaspersky-Analyse zeigt: Über eine spezielle nicht autorisierte App auf einem Smartphone mit dem Betriebssystem Android 4.3 oder höher kann eine Verknüpfung mit intelligenten Armbändern verschiedener Hersteller hergestellt werden. Einzige Voraussetzung: Der Nutzer des Fitnessarmbands muss die Verbindung per Knopfdruck bestätigen. Dies geschieht zum Beispiel über ein Vibrationssignal. Da der Nutzer nicht unterscheiden kann, ob es sich um eine Pairing-Anfrage zum eigenen Smartphone oder zu einem fremden Gerät handelt, stellt dies für Cyberkriminelle keine allzu große Hürde dar.

„Eine exakte Durchführung dieser Machbarkeitsstudie hängt von zahlreichen Voraussetzungen ab. Zudem sind Angreifer noch nicht in der Lage, wirklich kritische Daten wie Passwörter oder Kreditkartennummern zu stehlen. Dennoch wird deutlich: Es gibt Wege für Angreifer, um von den Geräteentwicklern ungepatchte Schwachstellen auszunutzen“, so Roman Unucheck, Senior Malware Analyst bei Kaspersky Lab. „Die aktuellen Fitness-Tracker sind noch nicht allzu ausgereift: Sie können Schritte zählen und Informationen über Schlafphasen erheben, aber kaum mehr als das. Die kommende Generation dieser Geräteklasse steht jedoch schon in den Startlöchern und wird mehr Nutzerdaten sammeln können als zuvor. Daher sollte man sich schon jetzt Gedanken um die Sicherheit dieser Geräte machen – und wie die Interaktion zwischen einem Tracker und einem Smartphone angemessen geschützt werden kann.“

Unucheck schreibt in seinem Blogbeitrag „Wie ich mein Fitness-Armband hackte“ abschließend: „Wir haben unsere Erkenntnisse dem Hersteller meines Armbands übermittelt. Das Unternehmen stufte unsere Untersuchungsergebnisse daraufhin als einen UX-Bug und nicht als Sicherheitsproblem ein. Aus ethischen und sicherheitsrelevanten Gründen werden wir Name und Modell des Armbands zum jetzigen Zeitpunkt nicht nennen. Sollten Sie sich Sorgen über mögliche Folgen einer Ausnutzung dieses Sicherheitsproblems in freier Wildbahn machen, so scheuen Sie sich nicht, den Hersteller zu kontaktieren und ihn zu fragen, ob das Produkt, das Sie benutzen, von der in diesem Artikel beschriebenen Methode betroffen ist.“ (pi)


Mehr Artikel

Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien. (c) WeinwurmFotografie
Interview

IT-Berufe im Fokus: Innovative Lösungen gegen den Fachkräftemangel

Angesichts des anhaltenden IT-Fachkräftemangels ist schnelles Handeln gefordert. Die Fachgruppe IT der UBIT Wien setzt in einer Kampagne genau hier an: Mit einem breiten Ansatz soll das vielfältige Berufsbild attraktiver gemacht und innovative Ausbildungswege aufgezeigt werden. IT WELT.at hat dazu mit Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien, ein Interview geführt. […]

News

ISO/IEC 27001 erhöht Informationssicherheit bei 81 Prozent der zertifizierten Unternehmen

Eine Umfrage unter 200 Personen verschiedener Branchen und Unternehmensgrößen in Österreich hat erstmals abgefragt, inwiefern der internationale Standard für Informationssicherheits-Managementsysteme (ISO/IEC 27001) bei der Bewältigung von Security-Problemen in der Praxis unterstützt. Ergebnis: Rund 81 Prozent der zertifizierten Unternehmen gaben an, dass sich durch die ISO/IEC 27001 die Informationssicherheit in ihrem Unternehmen erhöht hat. […]

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*