7 Fitness-Armbänder und die Apple Watch im Security-Check 2016

Weiterhin hohe Risiken bei Fitness-Trackern

In diesem Test wurden die neuesten und meistverkauften Fitness-Armbänder sowie die Apple Watch geprüft. Alle Armbänder arbeiten mit einer entsprechenden App auf einem Android-Smartphone zusammen. Diese Ergebnisse sind daher im Test für Tracker und App zusammengefasst. Das Labor stellt für den Test auch einen sehr ausführlichen Testreport als PDF bereit.

Die Apple Watch stellt eine Besonderheit dar: einige Testmethoden lassen sich nicht von Android auf iOS übertragen. Daher findet sich die Auswertung zur Apple Watch gesondert am Ende des Artikels. Folgende Produkte wurden getestet:

- Basis Peak
- Microsoft Band 2
- Mobile Action Q-Band
- Pebble Time
- Runtastic Moment Elite
- Striiv Fusion
- Xiaomi MiBand

- Apple Watch (siehe Ende des Artikels)

Die Experten hatten zwei besondere Fragestellungen im Blick:

1. Sind aus der Sicht des privaten Nutzers die erfassten Daten im Tracker oder in der App sicher gegen das Ausspähen oder Abgreifen von Dritten?

2. Sind aus Sicht von Krankenkassen oder anderen Firmen die Daten im Tracker oder in der App sicher gegen Manipulationen?

Im ersten Punkt steckt die Überlegung, dass Angreifer die Daten benutzen oder zu Lasten des Nutzers auswerten. Es handelt sich um private Daten, die auch so geschützt sein sollten. Im zweiten Punkt geht es etwa um Krankenkassen, die zum Beispiel Versicherte belohnen, wenn sie ein Fitnessziel erreichen. Ist aber ein Fitness-Tracker oder eine App manipulierbar, wird das zwangsläufig irgendwann ausgenutzt.

Drei Testabschnitte zur Risikobewertung

Die Tester haben jedes Fitness-Armband insgesamt 10 Prüfpunkten unterzogen, die in drei Bereiche unterteilt sind: Tracker, Applikation und Online-Kommunikation. Die Grafik zur Risikobewertung zeigt, in welchen Bereichen die Testkandidaten Probleme haben und ob die Tester diesen Punkt als Risiko einstufen. Der Begriff Fehler oder Sicherheitsloch wurde hier explizit nicht gewählt, da an den geprüften Stellen nur das erhöhte oder hohe Risiko eines Eindringens gegeben ist, aber nicht explizit eine offene Tür. Die Tester haben auch nicht weiter versucht, einen Risikopunkt zu „knacken". Sie haben nur analysiert, was ein Angreifer weiter an dieser Stelle machen könnte und mit welchen Folgen.

Tracker – Verbindung, Authentifizierung, Manipulation

Sichtbarkeit: Alle Fitness-Tracker nutzen zur Verbindung mit dem Smartphone Bluetooth. Hier wurden zuerst die klassischen Probleme untersucht. Ein Sicherheitsaspekt ist die Unsichtbarkeit für andere Bluetooth-Geräte. Was nicht da ist, das kann man schlecht ansprechen oder verfolgen. Nur bei einem Pairing sollten die Geräte für eine bestimmte Zeit sichtbar sein. Diese Sicherheit bieten nur die Armbänder von Microsoft und Pebble. Mobile Action will das zwar auch können, ist aber dennoch auffindbar.

BLE-Privacy: Der zweite Bluetooth-Sicherheitsaspekt ist die Funktion BLE-Privacy, die es seit Android 5.0 gibt. Dabei generiert das Gerät für eine Bluetooth-Verbindung immer wieder eine neue MAC-Adresse. Seine echte gibt es nicht weiter und ist so nicht verfolgbar. Diese Technik nutzt nur das Microsoft Band 2. Alle anderen kennen die Technik nicht.

Verbindbarkeit: Soll ein Gerät verbunden werden, so ergeben sich dazu technisch mehrere Möglichkeiten. Sehr sicher ist ein exklusives Bluetooth-Pairing (d.h. der Tracker lässt nur Verbindung zu einem einzigen, bekannten Telefon zu), welches im Test aber nur vom Basis Peak und dem Microsoft Band 2 genutzt wird. Die Pebble Time lässt zwar Verbindungen mit mehreren Geräten zu, aber jede davon muss der Nutzer manuell bestätigen; auch das ist sicher. Das Xiaomi MiBand geht einen einfachen aber sicheren Weg: nach einem geglückten Pairing ist es nicht mehr sichtbar und lässt keine weitere Verbindung zu. Nur die Armbänder von Striiv, Runtastic und Mobile Action nutzen keine verlässliche Technik, um auch Verbindungen mit fremden Geräten zu unterbinden.

Authentifizierung: Würde einem fremden Smartphone eine Verbindung zum Tracker gelingen, dann gibt es bei einigen Produkten eine weitere Sicherheitseinrichtung: die Authentifizierung. Nur 3 von 7 Produkten nutzen diese zweite Sicherheitsschwelle konsequent: Basis Peak, Microsoft Band 2 und Pebble Time. Xiaomi nutzt die Technik zwar ebenfalls, aber der Zugang ist recht simpel zu umgehen und daher unter Umständen wirkungslos. Die anderen 3 Produkte verzichten auf diese weitere Sicherheit oder setzen sie nur ungenügend um.

Manipulationsschutz: Dieser Punkt ist für Nutzer genau so interessant wie etwa für Krankenkassen oder Gerichte, die auf die Echtheit der Daten setzen. Daher wurde geprüft, ob für die im Tracker gespeicherten Daten eine Integritätssicherung oder ein Zugriffsschutz existiert. Der Schutz muss so ausgelegt sein, dass er den Zugriff von Fremden verhindert und auch die Manipulation der Daten durch den Smartphone-Besitzer ausschließt. Nur die Produkte von Basis, Microsoft, Pebble und Xiaomi haben in diesem Bereich einen grundsätzlichen Schutz. Allerdings lässt sich durch die schwache Authentifizierung das Gerät von Xiaomi auch austricksen. So ist es für einen Fremden möglich, das Armband vibrieren zu lassen, Weckzeiten zu verändern oder gar den Tracker vollständig auf Werkseinstellungen zurückzusetzen.

Die Fitness-Tracker von Striiv und Mobile Action nutzen keine adäquate und funktionierende Authentifizierung oder andere Schutzmechanismen und sind so für Manipulationen anfällig. Bei der Striiv Fusion konnten die Werte für Körperabmessungen des Nutzers auf übermenschliche Werte geändert werden. Diese flossen dann direkt in die Berechnung von Distanz und Kalorienverbrauch ein. Beim Tracker von Mobile Action war es im Test ebenfalls möglich, die gespeicherten Nutzerinformationen zu Gewicht, Größe, Schrittweite usw. zu ändern. Diese Werte gingen dann auch direkt in die Berechnung des Kalorienverbrauchs und der zurückgelegten Strecke ein.

Die App – Absicherung und Code-Check

Lokale Speicherung: Auch wenn die Technik eines Trackers sicher ist, so kann die dazugehörige App auf dem Smartphone die Schwachstelle sein. Deshalb wurde geprüft, ob die Apps Daten auf dem Smartphone ablegen, die für andere Apps zugänglich sind. Die Sicherheitsfunktionen bei nicht gerooteten Android-Geräten verhindern eigentlich diesen Zugriff. Aber werden die Daten an der falschen Stelle abgelegt, dann sind sie für alle im Zugriff. Diesen Fehler leistet sich nur das Xiaomi MiBand. Es legt eine ausführliche Log-Datei über die gesamte App-Aktivität in einem völlig offenen Bereich ab. In diesem Log stecken alle übermittelten Daten, sowie Nutzerinformationen, Alias, Körperabmessungen und vieles mehr, das auch für den Authentifizierungsprozess verwendet wird.

Code-Verschleierung: Bei der zweiten Prüfung geht es um die unsaubere Programmierung der Apps. Es wurde gecheckt, ob die Apps Code-Verschleierung (Obfuscation) nutzen. Die Technik verhindert ein Reverse-Engineering und versteckt für Angreifer nützliche Informationen. Die Apps von Mobile Action, Pebble und Xiaomi nutzen die Technik komplett. Auffällig waren hier die Apps von Basis und das Runtastic. Sie setzen Obfuscation nicht konsequent ein – das kann Angreifern helfen. Die Produkte von Microsoft und Striiv verwenden Obfuscation gar nicht. Somit ist eine App-Analyse für Spezialisten möglich.

Log- und Debug-Infos: Ein weiterer Programmierfehler ist die Ausgabe von Log- oder Debug-Informationen. Teilweise stecken in diesen Ausgaben so viele wichtige Informationen, dass andere Schutzmechanismen dadurch ausgehebelt werden. Hier arbeitet nur die App von Mobile Action sauber. Alle anderen Apps spucken im Test immer wieder Infos aus, über die sich Angreifer freuen.

Sichere Online-Kommunikation

Im letzten Check geht es um alle Verbindungen, die von der App ausgeführt werden. Lässt sich die Kommunikation abhören oder erfolgt sie vielleicht gar unverschlüsselt? Und wenn ja, was wird gesendet? Die gute Nachricht: alle Verbindungen, die verschlüsselt sein sollten, sind es auch. Abgefangene offene HTTP-Verbindungen waren ohne Wert – und daher wohl unverschlüsselt.

Weiterhin wurde geprüft, ob nach der Installation eines Root-Zertifikates die Inhalte einer gesicherten Verbindung lesbar sind. Diese Untersuchung ist wichtig, da auf diese Weise die Anwender selbst wiederum die versendeten Daten manipulieren können. Die Produkte von Basis und Pebble zeigen, dass man es auch sicher machen kann. Sie sind ausreichend gegen Zugriffe gewappnet. Bei allen anderen Produkten war es möglich, die gesicherten Verbindungen mitzulesen und teilweise auch erfolgreich zu manipulieren. So ließen sich Authentifizierungs- sowie Synchronisierungs-Daten mitlesen.

Fazit: Sport, Spaß – fehlende Sicherheit

Wie bereits im ersten Test von Fitnessarmbändern im letzten Jahr, machen viele Hersteller auch im aktuellen Test ähnliche Fehler. Dem Punkt Sicherheit schenken sie oft nicht ausreichende Beachtung. Die Risikobewertung zeigt, dass man bei der Pebble Time, beim Basis Peak und beim Microsoft Band 2 mit am sichersten gearbeitet hat. Sie machen kleine Fehler, die aber in der Summe für Angreifer oder für Manipulationen wenige Möglichkeiten bieten. Nach diesem Test werden die Hersteller mit Sicherheit auch das eine oder andere kleine Manko per Firmware-Update fixen.

Das Fitnessarmband von Mobile Action häuft einiges mehr an Risikopunkten an. Dem User gaukelt es per Funktion vor, es wäre unsichtbar für andere – ist es aber gar nicht. Auch die Punkte Authentifizierung und Manipulationsschutz fehlt. Es ließen sich im Test durch die Hintertür gar Nutzerdaten verändern.

Das Dreiergespann Runtastic, Striiv und Xiaomi sammelte am meisten Risikopunkte ein: 7 bis 8 mögliche Risikopunkte von 10. Die Produkte lassen sich relativ leicht verfolgen, nutzen inkonsequent oder gar keinen Authentifizierungs- und Manipulationsschutz, der Code der Apps wird nicht oder ungenügend verschleiert und auch die Übertragungen lassen sich mit Root-Zertifikaten aushebeln und mitlesen. Zu allem Übel legt das Xiaomi seine gesammelten Daten auch noch ungeschützt auf dem Smartphone ab. Die umfangreiche Sicherheitsstudie zum Test der Fitness-Tracker lässt sich auch in dieser PDF-Datei nachlesen, die das Labor ausgearbeitet hat.