7 Fitness-Armbänder und die Apple Watch im Security-Check 2016
Fitness-Armbänder und Smartwatches liegen nicht nur bei Sportfans schwer im Trend. Krankenkassen fördern sogar inzwischen den Kauf eines Trackers oder belohnen dessen Einsatz, denn fitte Menschen kosten die Kassen weniger. Die Experten von AV-TEST haben daher 7 aktuelle Fitnessarmbänder unter Android und die Apple Watch auf ihre Sicherheit hin untersucht. Das Ergebnis: einige Hersteller machen weiterhin herbe Fehler.
Smartwatches und Fitness-Armbänder bzw. Tracker sind beliebt und werden aktuell sogar weltweit von vielen Krankenkassen zumindest empfohlen. In Europa erlaubt die Gesetzeslage den Kassen nur eine Subventionierung der Wearables. In den USA gibt es bereits Angebote mit Prämienrückzahlungen, sofern der Versicherte per Fitness-Tracker seine Bemühungen belegen kann. So zahlt etwa das New Yorker Startup Oscar Health den Versicherten 1 Dollar pro Tag, wenn sie das tägliche Fitnessziel erreichen.
Wer die aktuellen und prognostizierten Absatzzahlen für Fitness-Tracker zum ersten Mal sieht, wird meist als erstes ein „Wow" formulieren. Laut IDC verkauften sich weltweit bereits 2014 über 26 Millionen Wearables, 2015 schon über 75 Millionen und 2016 sollen es schon über 100 Millionen sein.
Weiterhin hohe Risiken bei Fitness-Trackern
In diesem Test wurden die neuesten und meistverkauften Fitness-Armbänder sowie die Apple Watch geprüft. Alle Armbänder arbeiten mit einer entsprechenden App auf einem Android-Smartphone zusammen. Diese Ergebnisse sind daher im Test für Tracker und App zusammengefasst. Das Labor stellt für den Test auch einen sehr ausführlichen Testreport als PDF bereit.
Die Apple Watch stellt eine Besonderheit dar: einige Testmethoden lassen sich nicht von Android auf iOS übertragen. Daher findet sich die Auswertung zur Apple Watch gesondert am Ende des Artikels. Folgende Produkte wurden getestet:
- Basis Peak
- Microsoft Band 2
- Mobile Action Q-Band
- Pebble Time
- Runtastic Moment Elite
- Striiv Fusion
- Xiaomi MiBand
- Apple Watch (siehe Ende des Artikels)
Die Experten hatten zwei besondere Fragestellungen im Blick:
1. Sind aus der Sicht des privaten Nutzers die erfassten Daten im Tracker oder in der App sicher gegen das Ausspähen oder Abgreifen von Dritten?
2. Sind aus Sicht von Krankenkassen oder anderen Firmen die Daten im Tracker oder in der App sicher gegen Manipulationen?
Im ersten Punkt steckt die Überlegung, dass Angreifer die Daten benutzen oder zu Lasten des Nutzers auswerten. Es handelt sich um private Daten, die auch so geschützt sein sollten. Im zweiten Punkt geht es etwa um Krankenkassen, die zum Beispiel Versicherte belohnen, wenn sie ein Fitnessziel erreichen. Ist aber ein Fitness-Tracker oder eine App manipulierbar, wird das zwangsläufig irgendwann ausgenutzt.
Drei Testabschnitte zur Risikobewertung
Die Tester haben jedes Fitness-Armband insgesamt 10 Prüfpunkten unterzogen, die in drei Bereiche unterteilt sind: Tracker, Applikation und Online-Kommunikation. Die Grafik zur Risikobewertung zeigt, in welchen Bereichen die Testkandidaten Probleme haben und ob die Tester diesen Punkt als Risiko einstufen. Der Begriff Fehler oder Sicherheitsloch wurde hier explizit nicht gewählt, da an den geprüften Stellen nur das erhöhte oder hohe Risiko eines Eindringens gegeben ist, aber nicht explizit eine offene Tür. Die Tester haben auch nicht weiter versucht, einen Risikopunkt zu „knacken". Sie haben nur analysiert, was ein Angreifer weiter an dieser Stelle machen könnte und mit welchen Folgen.
Tracker – Verbindung, Authentifizierung, Manipulation
Sichtbarkeit: Alle Fitness-Tracker nutzen zur Verbindung mit dem Smartphone Bluetooth. Hier wurden zuerst die klassischen Probleme untersucht. Ein Sicherheitsaspekt ist die Unsichtbarkeit für andere Bluetooth-Geräte. Was nicht da ist, das kann man schlecht ansprechen oder verfolgen. Nur bei einem Pairing sollten die Geräte für eine bestimmte Zeit sichtbar sein. Diese Sicherheit bieten nur die Armbänder von Microsoft und Pebble. Mobile Action will das zwar auch können, ist aber dennoch auffindbar.
BLE-Privacy: Der zweite Bluetooth-Sicherheitsaspekt ist die Funktion BLE-Privacy, die es seit Android 5.0 gibt. Dabei generiert das Gerät für eine Bluetooth-Verbindung immer wieder eine neue MAC-Adresse. Seine echte gibt es nicht weiter und ist so nicht verfolgbar. Diese Technik nutzt nur das Microsoft Band 2. Alle anderen kennen die Technik nicht.
Verbindbarkeit: Soll ein Gerät verbunden werden, so ergeben sich dazu technisch mehrere Möglichkeiten. Sehr sicher ist ein exklusives Bluetooth-Pairing (d.h. der Tracker lässt nur Verbindung zu einem einzigen, bekannten Telefon zu), welches im Test aber nur vom Basis Peak und dem Microsoft Band 2 genutzt wird. Die Pebble Time lässt zwar Verbindungen mit mehreren Geräten zu, aber jede davon muss der Nutzer manuell bestätigen; auch das ist sicher. Das Xiaomi MiBand geht einen einfachen aber sicheren Weg: nach einem geglückten Pairing ist es nicht mehr sichtbar und lässt keine weitere Verbindung zu. Nur die Armbänder von Striiv, Runtastic und Mobile Action nutzen keine verlässliche Technik, um auch Verbindungen mit fremden Geräten zu unterbinden.
Authentifizierung: Würde einem fremden Smartphone eine Verbindung zum Tracker gelingen, dann gibt es bei einigen Produkten eine weitere Sicherheitseinrichtung: die Authentifizierung. Nur 3 von 7 Produkten nutzen diese zweite Sicherheitsschwelle konsequent: Basis Peak, Microsoft Band 2 und Pebble Time. Xiaomi nutzt die Technik zwar ebenfalls, aber der Zugang ist recht simpel zu umgehen und daher unter Umständen wirkungslos. Die anderen 3 Produkte verzichten auf diese weitere Sicherheit oder setzen sie nur ungenügend um.
Manipulationsschutz: Dieser Punkt ist für Nutzer genau so interessant wie etwa für Krankenkassen oder Gerichte, die auf die Echtheit der Daten setzen. Daher wurde geprüft, ob für die im Tracker gespeicherten Daten eine Integritätssicherung oder ein Zugriffsschutz existiert. Der Schutz muss so ausgelegt sein, dass er den Zugriff von Fremden verhindert und auch die Manipulation der Daten durch den Smartphone-Besitzer ausschließt. Nur die Produkte von Basis, Microsoft, Pebble und Xiaomi haben in diesem Bereich einen grundsätzlichen Schutz. Allerdings lässt sich durch die schwache Authentifizierung das Gerät von Xiaomi auch austricksen. So ist es für einen Fremden möglich, das Armband vibrieren zu lassen, Weckzeiten zu verändern oder gar den Tracker vollständig auf Werkseinstellungen zurückzusetzen.
Die Fitness-Tracker von Striiv und Mobile Action nutzen keine adäquate und funktionierende Authentifizierung oder andere Schutzmechanismen und sind so für Manipulationen anfällig. Bei der Striiv Fusion konnten die Werte für Körperabmessungen des Nutzers auf übermenschliche Werte geändert werden. Diese flossen dann direkt in die Berechnung von Distanz und Kalorienverbrauch ein. Beim Tracker von Mobile Action war es im Test ebenfalls möglich, die gespeicherten Nutzerinformationen zu Gewicht, Größe, Schrittweite usw. zu ändern. Diese Werte gingen dann auch direkt in die Berechnung des Kalorienverbrauchs und der zurückgelegten Strecke ein.
Die App – Absicherung und Code-Check
Lokale Speicherung: Auch wenn die Technik eines Trackers sicher ist, so kann die dazugehörige App auf dem Smartphone die Schwachstelle sein. Deshalb wurde geprüft, ob die Apps Daten auf dem Smartphone ablegen, die für andere Apps zugänglich sind. Die Sicherheitsfunktionen bei nicht gerooteten Android-Geräten verhindern eigentlich diesen Zugriff. Aber werden die Daten an der falschen Stelle abgelegt, dann sind sie für alle im Zugriff. Diesen Fehler leistet sich nur das Xiaomi MiBand. Es legt eine ausführliche Log-Datei über die gesamte App-Aktivität in einem völlig offenen Bereich ab. In diesem Log stecken alle übermittelten Daten, sowie Nutzerinformationen, Alias, Körperabmessungen und vieles mehr, das auch für den Authentifizierungsprozess verwendet wird.
Code-Verschleierung: Bei der zweiten Prüfung geht es um die unsaubere Programmierung der Apps. Es wurde gecheckt, ob die Apps Code-Verschleierung (Obfuscation) nutzen. Die Technik verhindert ein Reverse-Engineering und versteckt für Angreifer nützliche Informationen. Die Apps von Mobile Action, Pebble und Xiaomi nutzen die Technik komplett. Auffällig waren hier die Apps von Basis und das Runtastic. Sie setzen Obfuscation nicht konsequent ein – das kann Angreifern helfen. Die Produkte von Microsoft und Striiv verwenden Obfuscation gar nicht. Somit ist eine App-Analyse für Spezialisten möglich.
Log- und Debug-Infos: Ein weiterer Programmierfehler ist die Ausgabe von Log- oder Debug-Informationen. Teilweise stecken in diesen Ausgaben so viele wichtige Informationen, dass andere Schutzmechanismen dadurch ausgehebelt werden. Hier arbeitet nur die App von Mobile Action sauber. Alle anderen Apps spucken im Test immer wieder Infos aus, über die sich Angreifer freuen.
Sichere Online-Kommunikation
Im letzten Check geht es um alle Verbindungen, die von der App ausgeführt werden. Lässt sich die Kommunikation abhören oder erfolgt sie vielleicht gar unverschlüsselt? Und wenn ja, was wird gesendet? Die gute Nachricht: alle Verbindungen, die verschlüsselt sein sollten, sind es auch. Abgefangene offene HTTP-Verbindungen waren ohne Wert – und daher wohl unverschlüsselt.
Weiterhin wurde geprüft, ob nach der Installation eines Root-Zertifikates die Inhalte einer gesicherten Verbindung lesbar sind. Diese Untersuchung ist wichtig, da auf diese Weise die Anwender selbst wiederum die versendeten Daten manipulieren können. Die Produkte von Basis und Pebble zeigen, dass man es auch sicher machen kann. Sie sind ausreichend gegen Zugriffe gewappnet. Bei allen anderen Produkten war es möglich, die gesicherten Verbindungen mitzulesen und teilweise auch erfolgreich zu manipulieren. So ließen sich Authentifizierungs- sowie Synchronisierungs-Daten mitlesen.
Fazit: Sport, Spaß – fehlende Sicherheit
Wie bereits im ersten Test von Fitnessarmbändern im letzten Jahr, machen viele Hersteller auch im aktuellen Test ähnliche Fehler. Dem Punkt Sicherheit schenken sie oft nicht ausreichende Beachtung. Die Risikobewertung zeigt, dass man bei der Pebble Time, beim Basis Peak und beim Microsoft Band 2 mit am sichersten gearbeitet hat. Sie machen kleine Fehler, die aber in der Summe für Angreifer oder für Manipulationen wenige Möglichkeiten bieten. Nach diesem Test werden die Hersteller mit Sicherheit auch das eine oder andere kleine Manko per Firmware-Update fixen.
Das Fitnessarmband von Mobile Action häuft einiges mehr an Risikopunkten an. Dem User gaukelt es per Funktion vor, es wäre unsichtbar für andere – ist es aber gar nicht. Auch die Punkte Authentifizierung und Manipulationsschutz fehlt. Es ließen sich im Test durch die Hintertür gar Nutzerdaten verändern.
Das Dreiergespann Runtastic, Striiv und Xiaomi sammelte am meisten Risikopunkte ein: 7 bis 8 mögliche Risikopunkte von 10. Die Produkte lassen sich relativ leicht verfolgen, nutzen inkonsequent oder gar keinen Authentifizierungs- und Manipulationsschutz, der Code der Apps wird nicht oder ungenügend verschleiert und auch die Übertragungen lassen sich mit Root-Zertifikaten aushebeln und mitlesen. Zu allem Übel legt das Xiaomi seine gesammelten Daten auch noch ungeschützt auf dem Smartphone ab. Die umfangreiche Sicherheitsstudie zum Test der Fitness-Tracker lässt sich auch in dieser PDF-Datei nachlesen, die das Labor ausgearbeitet hat.
Die Apple Watch im Security-Check
Die Apple Watch als Fitness- Tracker (Foto: Apple).
Auch die Apple Watch dient im Zusammenspiel mit einem iPhone als Fitness-Tracker. Aber geht sie auch sicher mit den Daten um oder sind diese gar abrufbar?
Der Test der Apple Watch ist in den Grundzügen so aufgebaut wie der Test der Android-Geräte. Allerdings sind iOS und Android an einigen Stellen so verschieden, dass der Test verschiedener Risikopunkte nicht ausgeführt werden konnte, während andere für das Apple Gerät nicht relevant sind. Das Labor hat daher im Bereich Tracker nur die Punkte kontrollierte Sichtbarkeit, BLE-Privacy und kontrollierte Verbindbarkeit untersucht. Im Bereich Online-Kommunikation wurde geprüft, ob die Verbindungen verschlüsselt erfolgen und ob sich mit Root-Zertifikaten die Ergebnisse manipulieren lassen.
Die Sichtbarkeit per Bluetooth lässt sich vom Nutzer kontrollieren. Die Watch kann also nicht ständig verfolgt werden. Interessant war der Test der BLE-Privacy. Dabei sollte die Apple Watch nach jeder Neuaktivierung von Bluetooth eine andere MAC-Adresse zeigen. Das macht sie kaum verfolgbar. Im Test funktionierte das auch immer wieder. Wird allerdings der Flugmodus ein- und ausgeschaltet, zeigt die Apple Watch immer ihre echte MAC-Adresse der Bluetooth-Komponente. Das sollte eigentlich nicht der Fall sein.
Bei der kontrollierten Verbindbarkeit greift bei Apple ein besonderer Diebstahlschutz: Wurde die Watch einmal mit einem Account verbunden, so lässt sie sich nur mit sehr viel Aufwand wieder lösen. Auch ein Werks-Reset hilft hier nicht. Verkauft zum Beispiel ein Dieb dann die Smartwatch, könnte sie der neue Nutzer nicht mehr mit seinem eigenen iPhone koppeln.
Bei den Verbindungen arbeitet die Apple Watch meist mit verschlüsselten Verbindungen, die zusätzlich gesichert sind. Ein Update erfolgte aber zum Beispiel unverschlüsselt über HTTP.
In verschlüsselten, aber nicht weiter gesicherten Verbindungen konnten die Tester einiges mitlesen. So fanden sich Textzeilen mit den Geodaten des Nutzers mit seinem Aufenthaltsort – bis auf die Hausnummer genau! Im weiteren Verlauf wurde, wie bei den Android-Geräten, ein Root-Zertifikat installiert. Danach ließen sich viele Verbindungen mitlesen. Auf diese Weise hat der Nutzer selbst mehr Zugriff auf die Daten und könnte so eingreifen.
Insgesamt lässt sich der Apple Watch eine hohe Sicherheit bescheinigen. Theoretisch sehen die Tester zwar auch hier Angriffsflächen, aber der Aufwand für einen Angreifer zum Zugriff auf die Watch wäre sehr groß.