Nachgehakt: FitBit reagierte geschockt auf Security-Check von AV-TEST und sichert sein Fitness-Armband nun ab.

Test-Rückblick

Im vergangenen Test von 9 Fitness-Armbändern wurden deren Sicherheitskonzepte auf den Prüfstand gestellt. Es wurde gecheckt, ob sich die Fitness-Tracker manipulieren lassen. Dazu wurden die Tracker und die passenden Apps untersucht und deren Kommunikation belauscht. Im Test wurden aber keine Sperren geknackt!

Das Ergebnis war vielfältig: Während etwa das FitBit-Produkt in der Risikobewertung 7 von 9 Risikopunkten bekam (je mehr, umso höher das Risiko), hatte zum Beispiel das Smartband Talk von Sony nur einen Risikopunkt.

FitBit: ab sofort richtig sicher

Der vorliegende Report AV-TEST Analysis of Fitbit Vulnerabilities lieferte die Basis zur Zusammenarbeit von AV-TEST und dem Security-Team von FitBit. Die Analyse beschreibt fachmännisch genau die zwei Schwachstellen des Sicherheitskonzeptes von FitBit. Zusammengefasst lassen sich die Schwachstellen so beschreiben:

1. Jedes Smartphone mit einer passenden App – etwa der FitBit-App – in der Nähe eines FitBit-Trackers konnte sich mit diesem verbinden. Über diese Verbindung ließen sich alle im Fitness-Tracker gespeicherten Daten auslesen und so ein Profil ableiten.

2. Jedes verbundene Smartphone konnte mit Hilfe einer App manipulierte Daten auf den Fitness-Tracker senden oder auch die Alarme verändern. Der Anwender verlor die Herrschaft über seine Fitnessdaten.

Das Sicherheitsteam von FitBit nahm nach dem Test Kontakt mit AV-TEST auf und beschloss, sein Sicherheitskonzept komplett zu überarbeiten. Zwischendurch und zum Abschluss wurde das FitBit-Produkt mit neuester Firmware noch einmal komplett getestet. Dieses Mal waren die Tester sehr zufrieden. Inzwischen hat FitBit die neue Firmware 110 auf alle Geräte im Markt ausgerollt und so auch ältere Geräte nachträglich abgesichert.