Categories: Innovation

Fitness-Tracker schwächeln bei der Sicherheit

Fitness-Tracker wie Jawbone, Runtastic, oder Vivofit sammeln Daten über ihre Träger. Meist in Form einer Armbanduhr sollen die smarten Geräte mit Daten beim Training oder beim Abnehmen helfen. Und diese Datensammlung fällt recht umfangreich aus, manche nehmen sogar gelaufene Strecken über GPS auf und stellen fest, ob ein Träger schläft oder gerade Liegestützen macht.

Immer mehr Menschen wollen mit diesen kleinen Assistenten ihre Fitness verbessern. Sobald Daten anfallen, wachsen natürlich auch die Begehrlichkeiten. Polizei und zum Beispiel die Versicherungsbranche verwenden immer häufiger die Daten aus den Armbändern. Aber auch andere Organisationen haben starkes Interesse an diesen Informationen.

In den USA, wo diese Geräte bereits weit verbreitet sind, locken bereits erste Versicherungen mit Rabatten, wenn die Träger den Gesellschaften die Daten zur Verfügung stellen. Wie sich jetzt zeigt, lassen sich diese aber schnell und einfach manipulieren.

Wie Forscher der TU Darmstadt jetzt untersucht haben, werden diese Informationen jedoch kaum vor Manipulationen oder unberechtigtem Zugriff geschützt. Ahmad-Reza Sadeghi, Professor für Systemsicherheit am Profilbereich Cybersecurity (CYSEC) der TU Darmstadt und sein Team kommen bei dem Test der 17 unterschiedlichen Geräte zu alarmierenden Ergebnissen:

Alle cloud-basierten Tracking-Systeme sichern die Datenübertragung mit dem verschlüsselten Protokoll HTTPS. Die Forscher konnten dennoch in allen Fällen die aufgezeichneten Daten manipulieren.

Von den untersuchten Fitness-Trackern nutzen die meisten keine Schutzmechanismen, nur vier Hersteller verwenden geringfügige Maßnahmen zum Schutz der Integrität – also der Unversehrtheit und Unverändertheit – der Daten.

“Diese Hürden können einen motivierten Angreifer nicht aufhalten. Schon mit wenigen Vorkenntnissen wäre es Betrügern möglich, die Daten zu verfälschen”, warnt Sadeghi. Es komme keine Ende-zu-Ende-Verschlüsselung und auch kein weiterer Manipulationsschutz zum Einsatz.

Fünf der untersuchten Geräte synchronisieren die Fitness-Daten nicht mit einem Online-Dienst. Allerdings speichern die Hersteller die Daten im Klartext, also unverschlüsselt und für jeden lesbar, auf dem Smartphone. Wird das Smartphone gestohlen oder gehackt, kommen diese Daten in die Hände von Unberechtigten.

“Alle Versicherungen und auch andere Dienstleister, die Fitness-Tracker einsetzen wollen, sollten sich vorher mit Sicherheitsexperten beraten”, empfiehlt Sadeghi. Die in der Studie gefundenen Mängel seien mit bereits bekannten Standardtechnologien zu beheben. Sadeghi sieht hier vor allem die Hersteller in der Pflicht.

Im ersten Quartal 2016 wurden weltweit rund 20 Millionen dieser Geräte verkauft. In den USA wurden die von den Fitness-Trackern gesammelten Informationen bereits als Beweismittel vor Gericht zugelassen.

Bereits im Sommer hatte das unabhängige Testlabor AV-Test.org die Sicherheit der Apple Watch und bei verschiedenen Fitness-Armbändern untersucht und ebenfalls deutliche Mängel bei der Sicherheit festgestellt.

Tipp: Was wissen Sie über Wearables? Machen Sie den Test auf silicon.de!

Martin Schindler

Martin Schindler schreibt nicht nur über die SAPs und IBMs dieser Welt, sondern hat auch eine Schwäche für ungewöhnliche und unterhaltsame Themen aus der Welt der IT.

Recent Posts

Backup-Lücken in der Cloud

Für Backup und Recovery ihrer Daten sind SaaS-Anwenderunternehmen selbst verantwortlich. Verlassen sie sich nur auf…

7 Stunden ago

Wie gut ist Deutschland gegen Cyberangriffe gerüstet?

Potsdamer Konferenz für Nationale CyberSicherheit 2022 des Hasso-Plattner-Instituts.

7 Stunden ago

Prävention von Post-Quantum-Cyber-Attacken

BlackBerry unterstützt quantenresistente sichere Boot-Signaturen für die kryptoagilen S32G-Fahrzeugnetzwerkprozessoren von NXP Semiconductors.

8 Stunden ago

BSI veröffentlich Whitepaper zur Prüfbarkeit von KI-Systemen

Methode zur Erfassung der Prüfbarkeit der IT-Sicherheit von KI-Systemen.

13 Stunden ago

Blick in die Blackbox: Transparente Künstliche Intelligenz

Funktionsweisen von KI-Anwendungen für Autonomen Fahren oder in der Industrie 4.0 müssen transparent und nachvollziehbar…

15 Stunden ago

Silicon Security Day: Künstliche Intelligenz in der Cyber-Security

Cyberangreifer setzen zunehmend KI als Waffe ein, um ihre Angriffe noch zielführender zu starten –…

3 Tagen ago