Technik

Test zeigt viele Schwachstellen Wie sicher sind Fitness-Armbänder?

Fitness-Armbänder Aufmacher.png

Beim Datenschutz geben nicht alle Fitness-Armbänder Anlass zu Freudensprüngen.

(Foto: AV-Test)

Ein Testlabor prüft, ob Fitness-Armbänder die aufgezeichneten Daten ihrer Nutzer sicher aufbewahren und weitergeben. Das Resultat ist ernüchternd, nur ein Gerät ist wirklich empfehlenswert, einige sind erschreckend unsicher.

Viele Freizeitsportler nutzen inzwischen Fitness-Armbänder, um ihr Training zu optimieren. Die Geräte zeichnen unter anderem zurückgelegte Strecken, Schlaf- und Ruhezeiten auf und ermitteln den Kalorienverbrauch. Einige können auch den Puls messen. Das sind intime Daten und sollten von den Armbändern und dazu gehörenden Diensten auch entsprechend geschützt werden.

Das unabhängige Testlabor AV-Test hat neun Fitness-Tracker untersucht, die mit Android-Smartphones zusammenarbeiten. Die Prüfer stellten dabei fest, dass viele Hersteller mit dem Datenschutz viel zu lässig umgehen. Die getesteten Produkte: Acer Liquid Leap, FitBit Charge, Garmin Vivosmart, Huawei TalkBand B1, Jawbone Up24, LG Lifeband Touch FB84, Polar Loop, Sony Smartband Talk SWR30 und Withings Pulse O.

Fitnessbänder Risikobewertung Kopie.jpg

Die Risikobewertung für alle Testgeräte im Überblick.

(Foto: AV-Test)

Im ersten Schritt wurden auf den Test-Smartphones die jeweiligen Auswertungs-Apps für die Fitness-Daten installiert. Danach wurden alle Armbänder für den Test, wie in der jeweiligen Beschreibung vorgesehen, per Bluetooth-Kommunikation mit dem Android-Smartphone gepaart. Teilweise mussten dazu PINs eingegeben werden, bei einigen Geräten genügt aber auch ein einfaches "OK". Bei einem Armband stellten die Tester fest, dass die geforderte PIN für Angreifer so gut wie mitgeliefert wird. AV-Test möchte den Namen des Herstellers nicht nennen, hat ihn aber informiert. Fünf Tracker bleiben nach dem Koppeln mit dem Smartphone für andere Geräte sichtbar, also auch für Angreifer.

FitBit überrascht

Im nächsten Schritt wurde überprüft, ob die Armbänder nur mit authentifizierten Apps kommunizieren, oder ihre Infos jeder App anbieten. Das FitBit Charge versetzte die Tester dabei in Staunen: Jedes Smartphone mit Bluetooth ist bei dem Fitness-Armband willkommen. Es fragt nicht nach einer PIN oder anderen Authentifizierungen – es verbindet sich einfach und übergibt freiwillig alle seine Daten. Diese werden auch nicht verschlüsselt oder anderweitig geschützt.

Die Produkte von Jawbone und Huawei lassen zu, die erfassten Daten zu teilen. Jedes gepaarte Gerät, welches die passende App hat, bekommt automatisch auch die aktuellen Fitness-Daten ausgeliefert.

Nächster Schwachpunkt ist die App selbst. Angreifer schauen sich als Erstes den Programmcode an. Ist die App sauber programmiert, so ist der Code mit Standard-Hilfsmitteln "verschleiert". Erst so wird effektiv ein Nachbau der Anwendung erschwert. Auch sogenannte "Log"- oder "Debug"-Infos darf eine fertige App nicht mehr liefern, denn mit diesen Infos lässt sich die Arbeitsweise der App leicht nachvollziehen. Hier schwächeln Polar und LG.

Bei Acers Armband gelang es den Testern mit einer "selbstgebauten" Anwendung alle Informationen abzurufen. Sie konnten teilweise sogar Daten manipulieren und zurückspielen. Positiv: Bei der Übertragung der Daten ins Internet folgen die Apps der Fitness-Tracker aktuellen Sicherheitsstandards.

Das Fazit von AV-Test: Trotz Verbesserungsmöglichkeiten haben das Sony Smartband Talk SWR30 und das Polar Loop die solidesten Sicherheitskonzepte, Sonys Tracker leistet sich dabei nur eine einzige kleine Schwäche. Das Armband mit der höchsten Wahrscheinlichkeit, dass ein Angriff erfolgreich sein könnte, ist Acer Liquid Leap.

Quelle: n-tv.de, kwe

Mehr zum Thema