Zum Inhalt springen

Test: Fitness-Armbänder legen Daten offen

Fitness-Armbänder speichern und übertragen die Daten des Tragenden direkt zum Smartphone und dann meist ohne Umwege in die Cloud. Ist das sicher? Kann eventuell jeder die Daten sehen, manipulieren oder auch nutzen? AV-TEST hat 9 Fitness-Armbänder untersucht und empfiehlt einigen Herstellern dringend Umbauarbeiten an ihrem Sicherheitskonzept.

9 Fitness-Armbänder im Sicherheitstest

Sicherheitscheck: Nur wenige Fitness-Armbänder haben ein geringes Sicherheitsrisiko (AV-TEST 06/2015).

Testaufbau: Alle Armbänder wurden normal via Bluetooth mit dem Smartphone gepaart. Zusätzlich zur Hersteller-App wurde getestet, ob eine selbstgebaute App zum Abfangen der Daten genutzt werden kann.

Sony SmartBand Talk: Das Fitness-Armband und die App arbeiten gut zusammen und zeigten im Test das geringste Sicherheitsrisiko.

FitBit Charge: Der Fitness-Tracker nahm im Test jegliche Anfrage zur Paarung via Bluetooth an – auch von fremden Smartphones.

Die neuen Fitness-Armbänder sehen nicht nur hipp aus, sondern liegen auch im Trend: mehr Fitness muss sein und alle Leistungsergebnisse werden in einer App aufgefangen und ausgewertet. So sieht der Nutzer gleich, wie gut sich die Plackerei gelohnt hat. Aber sind die Daten sicher auf dem Weg vom Armband zum Smartphone? Oder kann sich hier vielleicht jemand einklinken, die Daten kopieren oder sogar manipulieren? Dieser Frage ist man im Labor von AV-TEST nachgegangen und hat 9 Fitness-Armbänder, oder auch Tracker genannt, im Live-Betrieb samt der dazugehörigen Android-App untersucht, belauscht und auf ihre Sicherheit geprüft. Im Test wurden keine Sperren geknackt oder sonstige digitale Brecheisen genutzt. Es wurde nur die Kommunikation belauscht und ausgewertet, sowie die App auf ihre Sicherheit und die Art der Datenverwaltung überprüft. Bei einigen Produkten sorgte das aktuelle Sicherheitskonzept für eine eindeutige Experten-Meinung: von der Nutzung ist abzuraten.

Wer will schon meine Daten?

Auch wenn die Fitness-Daten noch ohne persönliche Daten wie Name und Anschrift verwaltet werden, so sind sie für manche eine lohnende Beute. Wenn man etwa in den USA durch den Tracker eine gute Fitness nachweist, bekommt man bei seinem privaten Krankenversicherer günstigere Tarife. Warum sollte man da nicht die Daten des gleichaltrigen Nachbarn mit erheblich besserer Fitness nutzen? Wer die amerikanischen Preise für eine Krankenversicherung kennt, weiß, wie hoch hier das kriminelle Potential sein kann. Und wenn Tracker sich manipulieren lassen, wird es nicht lange dauern, bis Kids zum Spaß dem joggenden Yuppie den Blutdruck und die Pulsdaten etwas in die Höhe schieben und so dem Hypochonder mehr Spielraum geben. Der aktuelle Test zeigt: mögliche Angriffspunkte sind genügend vorhanden.

9 Fitness-Armbänder im Test

Alle Produkte wurden vom Labor auf dem freien Markt eingekauft. Daher befinden sich nur Armbänder im Test, die auch während der Testzeit in Deutschland erhältlich waren. So ist zum Beispiel das Microsoft-Band nicht im Test dabei. Weiterhin sollte das Produkt nicht an ein spezielles Smartphone gebunden sein, wie das etwa beim Samsung-Tracker der Fall wäre. Alle Produkte arbeiten mit Hilfe einer Verbindungs-App auf einem beliebigen Android-Smartphone. Im Labor haben sich folgende Armbänder zum gemeinsamen Test eingefunden:

- Acer Liquid Leap
- FitBit Charge
- Garmin Vivosmart
- Huawei TalkBand B1
- Jawbone Up24
- LG Lifeband Touch FB84
- Polar Loop
- Sony Smartband Talk SWR30
- Withings Pulse Ox

Im weiteren Testverlauf wurde die Acer Liquid Leap besonders unter die Lupe genommen, denn das Produkt hat Acer zugekauft und umgelabelt. Das baugleiche Produkt wird auch von den Firmen Striiv (Touch), Tofasco (3 Plus Swipe) und Walgreens (Activity Tracker) angeboten. Allerdings ist nicht klar, ob die anderen Anbieter die App und die Firmware der Armbänder verändert haben. Im ersten Testschritt wurden auf den Test-Smartphones die jeweiligen Auswertungs-Apps für die Fitness-Daten installiert. Danach wurden alle Fitness-Armbänder für den Test, wie in der jeweiligen Beschreibung vorgesehen, per Bluetooth-Kommunikation mit dem Android-Smartphone gepaart. Teilweise mussten dazu PINs eingegeben werden.

Bluetooth-Pairing funktioniert recht sicher

Die Fitness-Armbänder arbeiten alle mit einer Bluetooth-Verbindung. Die bekannten Probleme: bleiben die Geräte nach einer Verbindung sichtbar? Was ist nötig zum paaren der Geräte? Schaltet sich Bluetooth nur kurz zum Datenübertragen ein und dann wieder ab?

Die Bluetooth-Verbindung lässt sich nur bei den Produkten Garmin Vivosmart und LG Lifeband Touch Bluetooth manuell deaktivieren. Die Tracker von Sony, Polar und Withings sind nach dem Paaren nicht mehr sichtbar für andere Bluetooth-Geräte. Das Huawei-Band deaktiviert Bluetooth, wenn es für längere Zeit die Verbindung zum gepaarten Smartphone verliert. Das Jawbone-Band ist zwar nach dem Paaren auch unsichtbar für andere Geräte, aber verliert es die Verbindung, dann bleibt es zum Teil für mehrere Stunden sichtbar.

Bei allen anderen Bändern bleibt Bluetooth aktiv und sie sind so sichtbar für andere Bluetooth-Geräte und somit auch für eventuelle Angreifer. Zum Verbinden von Armband und Smartphone reicht bei einigen Produkten jeweils das Bestätigen eines angezeigten Hinweises mit „OK". Das Sony Smartband SWR30 verbindet sich auch automatisch via NFC, aber nur mit bekannten, vertrauten Geräten. Andere zeigen eine PIN an, die eingegeben werden muss. Bei einem Gerät stellten die Tester fest, dass die geforderte PIN für findige Geister und geübte Hacker so gut wie mitgeliefert wird. Das ist natürlich fatal. Der Hersteller wurde zwar informiert, wird aber an dieser Stelle nicht namentlich genannt.

Funkt Bluetooth im Klartext?

Im nächsten Schritt des Tests wurden die mit Bluetooth verbundenen Geräte belauscht und so überprüft, ob diese nur mit authentifizierten Apps kommunizieren, oder ihre Infos jeder App anbieten. Wenn man mitlesen konnte, dann wurde analysiert, was so mitgeteilt wurde.

Das Fitness-Armband FitBit Charge versetzte die Tester in Staunen: Jedes Smartphone mit Bluetooth ist bei dem Fitness-Tracker willkommen. Es fragt nicht nach einer PIN oder anderen Authentifizierungen – es verbindet sich einfach und übergibt freiwillig alle seine Daten. Diese werden auch nicht verschlüsselt oder anderweitig geschützt. Die FitBit-App ist zurzeit auf allen neuen HTC-Geräten der Reihe One M8 und M9 vorinstalliert. Alleine das One M8 soll laut unbestätigten Informationen weltweit zwischen 500.000 und 1 Million Mal verkauft worden sein. Die Produkte von Jawbone und Huawei lassen zu, die erfassten Daten zu teilen. Jedes gepaarte Gerät, welches die passende App hat, bekommt automatisch auch die aktuellen Fitness-Daten ausgeliefert. Etwas ungeschickt stellte sich das Band Withings Pulse Ox an: es liefert die gespeicherten Daten an das aktuell gepaarte Gerät. Wählt man ein zuvor gepaartes Gerät als Empfänger aus, dann initialisiert sich der Tracker neu und löscht alle vorhandenen Daten.

Wie sicher sind die Apps der Fitness-Tracker?

Wenn sich die Verbindung zwischen Armband und Smartphone nicht angreifen lässt, dann kann die nächste Schwachstelle die Smartphone-App für die Fitness-Daten sein. So könnte eine vermeintliche Spiele-App etwa verbundene Tracker nach den Daten fragen. Setzt der Tracker eine Authentifikation ein, dann bleibt die Nachfrage unbeantwortet.

Nächster Schwachpunkt ist die App selbst. Angreifer schauen sich als Erstes den Programmcode an. Ist die App sauber programmiert, so ist der Code mit Standard-Hilfsmitteln „verschleiert". Erst so wird effektiv ein Reverse-Engineering der App erschwert. Auch sogenannte „Log"- oder „Debug"-Infos darf eine fertige App nicht mehr liefern. Denn mit diesen Infos lässt sich die Arbeitsweise der App leicht nachvollziehen.

Verräterische Log-Informationen im Gepäck

Die Tester haben alle genannten Punkte im Labor geprüft. Nur 5 der 9 Fitness-Apps verschleiern effektiv ihren Code. Von den übrigen 4 verstauen immerhin 3 (Acer, Garmin und LG) ihre Kommunikations-Protokolle in verteilten Programm-Bibliotheken. Dies kann auch ein wirksamer Weg zum Schutz der Code-Analyse durch Angreifer sein. Lediglich die Apps von Polar und Sony nutzen beide Schutztechniken.

Die Apps von Polar und LG geben aber immer noch Log-Informationen aus. Das macht es Angreifern eventuell leicht, die App dank der vielen Hinweise zu zerlegen und anzugreifen. Die Log-Informationen machen selbst einen eigentlich verschleierten Code wieder sichtbar, da sie wie ein Wegweiser dienen.

Selbstgebaute App steuert den Fitness-Tracker

Das Labor hat in einem kleinen Versuch einfach Teile der App für das Acer Armband in eine eigene App eingefügt und dann das Acer-Fitness-Armband angesprochen. Dieses lieferte ohne weiteres alle Daten ab, so als wäre es mit der Original-App verbunden. Die Experten konnten sogar die Daten teilweise manipulieren und wieder zurückschicken. Somit war der Tagessport in wenigen Sekunden ohne einen Tropfen Schweiß erfüllt.

Weiterhin konnten die Tester die anderen Funktionen des Armbands beeinflussen. So ließen sich auch Alarme verändern und sogar der Nutzer aus dem Armband löschen. Dabei initialisierte sich das Acer-Armband komplett neu und löschte alle vorhandenen Daten. Acer kauft dieses Fitness-Armband nur ein und hat ihm seinen Brand aufgedrückt. Das baugleiche Band wird auch von Striiv, Tofasco und Walgreens verkauft. Falls die Anbieter keine veränderte App oder eine andere Firmware nutzen, haben sie die gleichen Sicherheitsrisiken wie die Acer Liquid Leap.

Gerootete Smartphones sind doppelt gefährdet

Einige Nutzer hebeln den Root-Schutz ihres Smartphones aus und ermöglichen so den Zugriff auf die eigentlich geschützte oberste Betriebssystemebene von Android. Diese Anwender haben zwar so mehr Macht über ihr Android, aber sie zahlen dafür einen hohen Preis in Sachen Sicherheit. Denn viele Apps schreiben ihre sensiblen Daten in einen geschützten Speicher, auf den andere Apps keinen Zugriff haben. Das Rooten des Smartphones hebt diesen Schutz auf. Viele der Fitness-Apps schreiben ihre sensiblen Daten in Klartext in den sicheren Speicher. Im Test wurde ein Gerät gerootet und die Daten darin analysiert: einige Apps legten dort Transaktions-Schlüssel ab, Zugangs-IDs oder sogar Passwörter. Eine auf Angriff gepolte App kann so die Daten auslesen und verwenden.

Sichere Verbindung in die Cloud

Bei der Übertragung der Daten ins Internet folgen die Apps der Fitness-Tracker aktuellen Sicherheitsstandards. So nutzen Apps zur Verbindung das HTTPS-Protokoll oder andere sichere Kanäle und senden die Daten verschlüsselt. Ob die Portale oder Empfangsstellen in der Cloud sicher sind, hat das Labor in diesem Test nicht geprüft.

Fazit: Viele Bänder können es ganz gut

Trotz kleiner Verbesserungsmöglichkeiten haben die Produkte Sony Smartband Talk SWR30 und die Polar Loop die solidesten Sicherheitskonzepte. Die weiteren Fitness-Tracker rangieren mit ihrer Sicherheit dahinter und stehen daher in der Risikobewertung weiter vorne. Das Produkt mit der höchsten Wahrscheinlichkeit, dass ein Angriff erfolgreich sein könnte, ist Acer Liquid Leap.

Die Studie von AV-TEST mit allen technischen Einzelergebnissen können Sie in diesem PDF nachlesen: „Internet of Things: Security Evaluation of nine Fitness Trackers“.

Spaß und Risiko bei Fitness-Armbändern

Maik Morgenstern,
CTO AV-TEST GmbH

Es ist sicher nicht schlecht, wenn ein kleines Fitness-Armband die Menschen der Welt anspornt, gesünder und fitter zu leben. Massive Werbekampagnen unterstützen den Trend und fordern zum Kauf der Innovation auf. Aber auch hier werden die gleichen Fehler wie in anderen Bereichen des Internet of Things gemacht: Sicherheit ist nur eine Randnotiz. Etablierte Ansätze wie Authentifizierung und Verschlüsselung werden nicht oder schlecht genutzt.
Da Fitness-Tracker bei Krankenkassen und Versicherungskonzernen noch eine große Rolle spielen werden, müssen die Anbieter ihre Sicherheitskonzepte überarbeiten und verbessern. Die Risikobewertung des Labors zeigt, dass kein Produkt das höchste Maß an Sicherheit erreicht hat. Die teils heiklen Ergebnisse hat AV-TEST ungeschminkt an die Hersteller weitergeleitet. Nach einer gewissen Zeit werden die Labormitarbeiter wohl wieder zwangsweise mehr Sport machen müssen, wenn es in eine zweite Testrunde geht. Dann wird man sehen, wie und ob die Hersteller reagiert haben.

Beitrag teilen: