Fitness-Tracker mit schwachem Datenschutz

Die so genannten Fitness-Tracker sind Geräte, die Vitaldaten wie etwa die Pulsfrequenz, die Schrittzahl oder die Dauer von Schlafphasen erfassen und speichern. Diese Daten können über eine App auf dem Smartphone abgerufen werden. Dabei sind beide Geräte meist über Bluetooth verbunden. Die Daten werden oft nicht nur im Smartphone gespeichert, sondern auch an einen Cloud-Server des Anbieters übertragen. Das Magdeburger AV-Test Institut hat neun solcher Fitness-Armbänder sowie ihre Apps untersucht und dabei gravierende Schwächen in den Sicherheitskonzepten mehrerer Anbieter gefunden. Für den Test wurden nur solche Tracker ausgewählt, die mit beliebigen Android-Smartphones nutzbar sind. Deshalb sind Geräte wie etwa das Samsung Gear Fit nicht dabei. Das Microsoft Band war zu Testbeginn noch nicht in Deutschland auf dem Markt. Das Acer Liquid Leap gibt es baugleich auch von Striiv (Touch), Tofasco (3 Plus Swipe) und Walgreens (Activity Tracker). Ob diese baugleichen Geräte auch bei der Firmware und der mitgelieferten App identisch sind, wurde nicht untersucht. Bei der Analyse haben die Tester lediglich den Datenverkehr im Live-Betrieb belauscht. Sie haben keine Sperren geknackt oder andere Formen digitaler Gewalt angewendet.

Lesetipp:  Fitnesstracker Beurer AS 80 ohne Zwangs-Cloud im Test

Bluetooth-Verbindungen können mehr oder weniger sicher sein – so sollte sich ein Fitness-Armband nach dem Erstkontakt (Pairing) nur noch mit diesem einen Smartphone verbinden und für andere unsichtbar bleiben. Das trifft leider nicht auf alle getesteten Armbänder zu, sondern nur auf die Geräte von Sony, Polar und Withings. Nur beim Garmin Vivosmart sowie beim LG Lifeband Touch kann der Benutzer Bluetooth manuell deaktivieren. Eines der getesteten Geräte liefert Angreifern die PIN für das Bluetooth-Pairing fast schon auf dem Silbertablett. Welcher Hersteller hier so grob gepatzt hat, verrät AV-Test allerdings nicht. Manche Geräte verlangen beim Pairing gar keine PIN-Eingabe, ein bestätigendes „OK” genügt. Nach dem Erstkontakt haben die Tester die Sicherheit der Datenübertragung untersucht. Dabei hat sich das FitBit Charge als ausgesprochen freigebig erwiesen. Es überträgt die gespeicherten Daten weiterhin an jedes Smartphone, das danach fragt – und das auch noch unverschlüsselt. Jawbone und Huawei ermöglichen es die Fitness-Daten mit anderen zu teilen. Dann erhält jedes gepaarte Smartphone mit der passenden App automatisch alle Daten. Beim Withings Pulse O _x droht unter Umständen Datenverlust. Es liefert die Daten an das aktuell gepaarte Gerät – wählt man ein anderes, zuvor gepaartes Gerät als Empfänger, initialisiert sich das Fitness-Armband, wobei es alle gespeicherten Daten löscht. Weitere Schwachstellen können auf dem Smartphone lauern. Wenn der Tracker seine Daten an jede beliebige App liefert, können Spionage-Apps die Daten abfragen und an Angreifer ausleiten. Verlangt der Tracker von der App eine Authentifizierung, sind die Daten hingegen vor solchen Angriffen geschützt. Die zu den Fitness-Armbändern gehören Apps sollten ihren Code mit den gängigen Standardmethoden verschleiern und auch keine Debug- und/oder Log-Daten ausgeben. Andernfalls kann ein Angreifer den App-Code analysieren und nachbauen. Die Überprüfung im Testlabor hat ergeben, dass vier der neun Apps hierbei nachlässig sind. Den besten Schutz weisen die Apps von Polar und Sony auf. Sony hat im Test auch insgesamt das beste Sicherheitskonzept gezeigt. Die App des Polar Loop gibt mit Debug- und Log-Daten zu viel über sich preis. Das Jawbone Up24 schützt die Daten zu wenig vor unbefugten Zugriffen. Die übrigen Produkte weisen darüber hinaus noch weitere, zum Teil erhebliche Sicherheitsmängel auf. Beim Acer Liquid Leap haben die Tester ein Sicherheitskonzept gänzlich vermisst. AV-Test hat die Hersteller über die Testergebnisse informiert. Ein zukünftiger zweiter Test wird zeigen, wie diese auf die aufgezeigten Mängel reagieren. Die ausführlichen Testergebnisse sowie Informationen zu den Testmethoden finden Sie auf der AV-Test Website .