Fitness-Tracker aus IT-Sicherheitsperspektive nicht fit genug
Schritte Zählen, Puls Messen, Fitness steigern, mit diesen Funktionen wollen die Hersteller von Fitness-Armbändern punkten. Die Sicherheit der Daten allerdings bleibt auf der Strecke, so Forscher der TU Darmstadt.
Fitness-Tracker wie Jawbone, Runtastic, oder Vivofit sammeln Daten über ihre Träger. Meist in Form einer Armbanduhr sollen die smarten Geräte mit Daten beim Training oder beim Abnehmen helfen. Und diese Datensammlung fällt recht umfangreich aus, manche nehmen sogar gelaufene Strecken über GPS auf und stellen fest, ob ein Träger schläft oder gerade Liegestützen macht.
Immer mehr Menschen wollen mit diesen kleinen Assistenten ihre Fitness verbessern. Sobald Daten anfallen, wachsen natürlich auch die Begehrlichkeiten. Polizei und zum Beispiel die Versicherungsbranche verwenden immer häufiger die Daten aus den Armbändern. Aber auch andere Organisationen haben starkes Interesse an diesen Informationen.
In den USA, wo diese Geräte bereits weit verbreitet sind, locken bereits erste Versicherungen mit Rabatten, wenn die Träger den Gesellschaften die Daten zur Verfügung stellen. Wie sich jetzt zeigt, lassen sich diese aber schnell und einfach manipulieren.
Wie Forscher der TU Darmstadt jetzt untersucht haben, werden diese Informationen jedoch kaum vor Manipulationen oder unberechtigtem Zugriff geschützt. Ahmad-Reza Sadeghi, Professor für Systemsicherheit am Profilbereich Cybersecurity (CYSEC) der TU Darmstadt und sein Team kommen bei dem Test der 17 unterschiedlichen Geräte zu alarmierenden Ergebnissen: Alle cloud-basierten Tracking-Systeme sichern die Datenübertragung mit dem verschlüsselten Protokoll HTTPS. Die Forscher konnten dennoch in allen Fällen die aufgezeichneten Daten manipulieren.
Von den untersuchten Fitness-Trackern nutzen die meisten keine Schutzmechanismen. Nur vier Hersteller verwenden geringfügige Maßnahmen zum Schutz der Integrität – also der Unversehrtheit und Unverändertheit – der Daten. Damit bestätigen die Darmstädter Forscher bereits im vergangenen Jahr vorgelegte Ergebnisse des Kaspersky-Experten Roman Unucheck und bereits 2014 von Symantec geäußerte Warnungen. Umso ärgerlicher ist, dass die Hesteller in den vergangenen zwei Jahren weder dazugelernt noch wesentlich nachgebessert haben.
“Diese Hürden können einen motivierten Angreifer nicht aufhalten. Schon mit wenigen Vorkenntnissen wäre es Betrügern möglich, die Daten zu verfälschen”, warnt Sadeghi. Es komme keine Ende-zu-Ende-Verschlüsselung und auch kein weiterer Manipulationsschutz zum Einsatz.
Fünf der untersuchten Geräte synchronisieren die Fitness-Daten nicht mit einem Online-Dienst. Allerdings speichern die Hersteller die Daten im Klartext, also unverschlüsselt und für jeden lesbar, auf dem Smartphone. Wird das Smartphone gestohlen oder gehackt, kommen diese Daten in die Hände von Unberechtigten.
“Alle Versicherungen und auch andere Dienstleister, die Fitness-Tracker einsetzen wollen, sollten sich vorher mit Sicherheitsexperten beraten”, empfiehlt Sadeghi. Die in der Studie gefundenen Mängel seien mit bereits bekannten Standardtechnologien zu beheben. Sadeghi sieht hier vor allem die Hersteller in der Pflicht.
Im ersten Quartal 2016 wurden weltweit rund 20 Millionen dieser Geräte verkauft. In den USA wurden die von den Fitness-Trackern gesammelten Informationen bereits als Beweismittel vor Gericht zugelassen.
Bereits im Sommer hatte das unabhängige Testlabor AV-Test.org die Sicherheit der Apple Watch und bei verschiedenen Fitness-Armbändern untersucht und ebenfalls deutliche Mängel bei der Sicherheit festgestellt.