Fitness-Tracker wie Jawbone, Runtastic, oder Vivofit sammeln Daten über ihre Träger. Meist in Form einer Armbanduhr sollen die smarten Geräte mit Daten beim Training oder beim Abnehmen helfen. Und diese Datensammlung fällt recht umfangreich aus, manche nehmen sogar gelaufene Strecken über GPS auf und stellen fest, ob ein Träger schläft oder gerade Liegestützen macht.
Immer mehr Menschen wollen mit diesen kleinen Assistenten ihre Fitness verbessern. Sobald Daten anfallen, wachsen natürlich auch die Begehrlichkeiten. Polizei und zum Beispiel die Versicherungsbranche verwenden immer häufiger die Daten aus den Armbändern. Aber auch andere Organisationen haben starkes Interesse an diesen Informationen.
In den USA, wo diese Geräte bereits weit verbreitet sind, locken bereits erste Versicherungen mit Rabatten, wenn die Träger den Gesellschaften die Daten zur Verfügung stellen. Wie sich jetzt zeigt, lassen sich diese aber schnell und einfach manipulieren.
Wie Forscher der TU Darmstadt jetzt untersucht haben, werden diese Informationen jedoch kaum vor Manipulationen oder unberechtigtem Zugriff geschützt. Ahmad-Reza Sadeghi, Professor für Systemsicherheit am Profilbereich Cybersecurity (CYSEC) der TU Darmstadt und sein Team kommen bei dem Test der 17 unterschiedlichen Geräte zu alarmierenden Ergebnissen:
Alle cloud-basierten Tracking-Systeme sichern die Datenübertragung mit dem verschlüsselten Protokoll HTTPS. Die Forscher konnten dennoch in allen Fällen die aufgezeichneten Daten manipulieren.
“Diese Hürden können einen motivierten Angreifer nicht aufhalten. Schon mit wenigen Vorkenntnissen wäre es Betrügern möglich, die Daten zu verfälschen”, warnt Sadeghi. Es komme keine Ende-zu-Ende-Verschlüsselung und auch kein weiterer Manipulationsschutz zum Einsatz.
Fünf der untersuchten Geräte synchronisieren die Fitness-Daten nicht mit einem Online-Dienst. Allerdings speichern die Hersteller die Daten im Klartext, also unverschlüsselt und für jeden lesbar, auf dem Smartphone. Wird das Smartphone gestohlen oder gehackt, kommen diese Daten in die Hände von Unberechtigten.
“Alle Versicherungen und auch andere Dienstleister, die Fitness-Tracker einsetzen wollen, sollten sich vorher mit Sicherheitsexperten beraten”, empfiehlt Sadeghi. Die in der Studie gefundenen Mängel seien mit bereits bekannten Standardtechnologien zu beheben. Sadeghi sieht hier vor allem die Hersteller in der Pflicht.
Im ersten Quartal 2016 wurden weltweit rund 20 Millionen dieser Geräte verkauft. In den USA wurden die von den Fitness-Trackern gesammelten Informationen bereits als Beweismittel vor Gericht zugelassen.
Bereits im Sommer hatte das unabhängige Testlabor AV-Test.org die Sicherheit der Apple Watch und bei verschiedenen Fitness-Armbändern untersucht und ebenfalls deutliche Mängel bei der Sicherheit festgestellt.
Tipp: Was wissen Sie über Wearables? Machen Sie den Test auf silicon.de!
Kurz vor der Fußball-Europameisterschaft in Deutschland nehmen die Cyberbedrohungen für Sportfans zu, warnt Marco Eggerling…
Software für das Customer Relationship Management muss passgenau ausgewählt und im Praxistest an das einzelne…
Ein elementarer Bestandteil einer effektiven Cloud-Strategie ist nach erfolgter Implementierung die künftige Verwaltung des Dienstes.
Die Neuerungen sollen den Digital Thread, die Low-Code-Entwicklung, die Visualisierung komplexer Baugruppen und das Lieferantenmanagement…
Eine Bitkom-Umfrage attestiert der Datenraum-Initiative des Bundes hohe Bekanntheit in der Industrie. Doch noch ist…
Ransomware-as-a-Service ist ein lukratives Geschäft und in den Händen professionell organisierter Gruppen. Jetzt können Kriminelle…
