Das unabhängige IT-Sicherheitsinstitut AV-Test hat 9 der gängigsten Fitness-Armbänder auf ihre Datenschutztauglichkeit geprüft. Dabei zeigten einige der Hersteller gravierende Sicherheitslücken, die AV-Test dringend zu beheben empfiehlt.

DIE BLUETOOTH-FALLE

Die Fitness-Armbänder arbeiten alle mit einer Bluetooth-Verbindung. Diese lässt sich nur bei zwei Herstellern manuell deaktivieren. Bei vielen der anderen Bänden bleibt Bluetooth aktiv wodurch diese sichtbar für andere Bluetooth-Geräte und somit auch für Angreifer sind. Für eine Verbindung zwischen Armband und Smartphone reicht bei einigen Produkten schon das Bestätigen eines angezeigten OK-Hinweises. Andere verlangen, dass eine Pin eingegeben werden muss. Bei einem Gerät stellten die Tester fest, dass die geforderte PIN für geübte Hacker quasi mitgeliefert wird.

„DATENSPENDER“ FITBIT CHARGE

Eine der erschreckendsten Entdeckungen machten die Tester bei dem Armband FitBit Charge: Es fragt nach keinerlei Authentifizierung. Stattdessen verbindet es sich einfach mit jedem Smartphone mit aktiviertem Bluetooth in seiner Nähe und übergibt freiwillig alle Daten – unverschlüsselt und ungeschützt. Die FitBit-App ist zurzeit auf sämtlichen aktuellen HTC-Geräten der Reihe One M8 bzw. M9 vorinstalliert. Wobei alleine das One M8 ca. 500.000 bis 1 Million Mal verkauft wurde.

WIE SICHER SIND DIE APPS?

Die Apps gelten auch als Angriffspunkte. Kann doch eine vermeintliche Spiele-App verbundene Armbänder nach den Daten fragen. Setzt der Tracker eine Authentifikation ein, dann bleibt die Nachfrage unbeantwortet. Ist eine App sicher programmiert, so ist der Code mit Standard-Hilfsmitteln „verschleiert“. Dadurch wird effektiv ein Reverse-Engineering der App erschwert. Auch sogenannte „Log“- oder „Debug“-Infos darf eine fertige App nicht mehr ausspucken. Denn mit diesen Informationen lässt sich die Arbeitsweise einer App problemlos nachvollziehen. Nur 5 der 9 getesteten Fitness-Apps verschleiern effektiv ihren Code.

DAS TESTERGEBNIS

Die Tester bescheinigten den Armbändern Sony Smartband Talk SWR30 und Polar Loop die solidesten Datenschutzkonzepte. Die anderen Armbänder rangieren in der Risikobewertung weiter oben. Als Armband mit der höchsten Wahrscheinlichkeit, einem erfolgreichen Hackerangriff zu erliegen, wurde das Acer Liquid Leap benannt.
Der vollständige Test kann HIER bei AV-Test als PDF heruntergeladen werden.