Abo
  • Services:
Anzeige
Fitnesstracker von Fitbit
Fitnesstracker von Fitbit (Bild: Eric Thayer/Getty Images)

Datensicherheit: Den Fitnesstracker des Nachbarn auslesen

Fitnesstracker von Fitbit
Fitnesstracker von Fitbit (Bild: Eric Thayer/Getty Images)

Manche Fitnessarmbänder geben Nutzerdaten allzu bereitwillig an Dritte weiter. Sie lassen sich unter Umständen sogar manipulieren, wie ein Test zeigt.

Anzeige

Wer sich ein Fitnessarmband oder einen anderen Bewegungstracker zulegt, will damit Informationen über sich gewinnen, speichern und nutzen. Die Geräte sind keine Datenvermeidungsapparate. Aber deshalb müssen sie noch lange keine Datenschleudern sein. Eine Untersuchung der auf Malware-Erkennung spezialisierten Firma AV-Test jedoch zeigt, wie fahrlässig manche Hersteller mit den Daten ihrer Kunden umgehen.

AV-Test hat neun in Deutschland erhältliche Fitnesstracker und die dazugehörigen Apps auf Datensicherheit geprüft: Werden Daten verschlüsselt vom Gerät zum Smartphone übertragen? Wie sicher ist das Pairing-Verfahren, mit dem Tracker und Smartphone gekoppelt werden? Wie gut sind die Daten vor dem Zugriff durch Dritte geschützt? Elf solcher Probleme hatte die Firma formuliert. Das im Vergleich sicherste Gerät hatte nur eine Schwachstelle, das unsicherste neun.

Getestet wurden die Fitnessarmbänder

  • Acer Liquid Leap
  • Fitbit Charge
  • Garmin Vivosmart
  • Huawei Talkband B1
  • Jawbone Up24
  • LG Lifeband Touch FB84
  • Polar Loop
  • Sony Smartband Talk SWR30
  • Withings Pulse Ox

Alle Apps verschlüsseln Daten

Die erfreulichste Erkenntnis der Tester: Alle Smartphone-Apps für die jeweiligen Tracker kommunizieren verschlüsselt mit dem Internet, wenn sie Nutzerdaten an die Firmenserver senden. Zur Qualität der Verschlüsselung macht AV-Test zwar keine Angaben, aber zumindest scheint der Datentransport bei allen Anbietern so weit abgesichert zu sein, dass heimliches Mitlesen nicht ohne weiteres möglich ist.

Problematischer sind die Bluetooth-Einstellungen und die Apps selbst. Bleibt Bluetooth die ganze Zeit aktiviert, kann das ein Weg für Dritte sein, auf die Daten des Nutzers zuzugreifen. Das gilt insbesondere dann, wenn ein Fitnesstracker sich mit jedem Smartphone in Bluetooth-Reichweite verbinden kann, ohne dass der Besitzer das bemerkt - wenn das Pairing also ohne ordentliche Authentifizierung stattfindet.

Das ist der Fall beim Fitbit Charge. Die Tester schreiben: "Jedes Smartphone mit Bluetooth ist bei dem Fitnesstracker willkommen. Es fragt nicht nach einer PIN oder anderen Authentifizierungen - es verbindet sich einfach und übergibt freiwillig alle seine Daten. Diese werden auch nicht verschlüsselt oder anderweitig geschützt."

Auf Nachfrage präzisierte AV-Test die Angaben: Wenn der Fitbit-Tracker gerade nicht mit einem Smartphone kommunizierte, konnten ihn die Tester mit ihrer eigenen App dazu bringen, Nutzerdaten an ein heimlich gekoppeltes Smartphone zu übertragen. Dafür mussten sie zwar in Bluetooth-Reichweite sein, also im Umkreis von wenigen Metern, aber ganz unrealistisch ist das nicht. Auf Nachfrage kündigte die PR-Firma von Fitbit in Deutschland ein Statement zur angeblich mangelhaften Authentifizierung an.

Andere Apps können zum Teil auf Fitnessdaten zugreifen

Die Geräte von Fitbit und Acer waren die einzigen im Test, die Drittanbieter-Apps den Zugriff auf die Fitnessdaten erlauben. Präparierte, etwa als Spiele getarnte Apps können die Daten also heimlich abgreifen und per Internet versenden. Mit einer manipulierten App gelang es den Prüfern zudem, Daten aus dem Acer-Armband nicht nur abzufangen, sondern auch zu verändern und zurück zum Gerät zu schicken. Interessant könnte das für Nutzer sein, die Boni oder Rabatte von ihrer Krankenkasse bekommen, wenn sie sich nachweislich sportlich betätigen: Wer seine Fitnessdaten derart manipulieren kann, kann sich die Bewegung sparen.

Fitbit und Acer landen mit acht beziehungsweise neun (mehr oder weniger schwerwiegenden) Mängeln auf den letzten Plätzen des Vergleichs. Testsieger ist das Sony Smartband. Einziges Manko nach den Kriterien von AV-Test ist hier die fehlende Option, Bluetooth direkt am Armband deaktivieren zu können.

Betrug wäre kompliziert

Die Missbrauchsszenarien mögen etwas weit hergeholt sein. So nennt AV-Test noch einen anderen Weg, die Krankenkassen zu betrügen: Wer die Daten eines gleichaltrigen, aber deutlich sportlicheren Nachbarn abgreifen und in sein eigenes Profil übernehmen kann, muss sich nicht selbst bewegen. Er müsste sich allerdings regelmäßig in Bluetooth-Reichweite von eben jenem Nachbarn begeben, wenn der gerade seinen Tracker trägt. Angesichts der bisherigen Verbreitung von Fitnesstrackern und vor allem der wenigen entsprechenden Krankenkassen-Angebote dürften solche Fälle äußerst selten vorkommen.

Zumindest aber zeigen solche Tests, dass manche Hersteller keinen gesteigerten Wert auf die Sicherung von Nutzerdaten legen. Vertrauen in das kommende Internet der Dinge entsteht so nicht.


eye home zur Startseite
Peter Brülls 24. Jun 2015

Na, das ist ja ein böser Geheimdienst, der einfach Fitnessdaten illegal ausliest.

Kurisu23 23. Jun 2015

Habe ein Charge HR und wurde beim ersten Sync mit dem Rechner dazu aufgefordert eine 4...

strauch 23. Jun 2015

Oder er sieht aus wie Wolle-Petri nur das es eben alles Fitnessbänder sind ;-).

AlexanderSchäfer 23. Jun 2015

Wie werden denn die Daten zur KK übertragen? Es sollte doch sicher möglich sein die...

das_mav 23. Jun 2015

Zumindest letzteres ist schon lange kein Grund mehr, warum man es nicht doch tut.



Anzeige

Stellenmarkt
  1. Hubert Burda Media, Offenburg
  2. Digital Performance GmbH, Berlin
  3. CERATIZIT Deutschland GmbH, Empfingen
  4. ROHDE & SCHWARZ GmbH & Co. KG, München


Anzeige
Blu-ray-Angebote
  1. 127,00€
  2. 17,97€
  3. (u. a. Apollo 13, Insidious, Horns, King Kong, E.T. The Untouchables, Der Sternwanderer)

Folgen Sie uns
       


  1. Raspberry Pi

    Schutz gegen Übernahme durch Hacker und Botnetze verbessert

  2. UHD-Blu-ray

    PowerDVD spielt 4K-Discs

  3. Raumfahrt

    Europa bleibt im All

  4. Nationale Sicherheit

    Obama verhindert Aixtron-Verkauf nach China

  5. Die Woche im Video

    Telekom fällt aus und HPE erfindet den Computer neu - fast

  6. Hololens

    Microsoft holoportiert Leute aus dem Auto ins Büro

  7. Star Wars

    Todesstern kostet 6,25 Quadrilliarden britische Pfund am Tag

  8. NSA-Ausschuss

    Wikileaks könnte Bundestagsquelle enttarnt haben

  9. Transparenzverordnung

    Angaben-Wirrwarr statt einer ehrlichen Datenratenangabe

  10. Urteil zu Sofortüberweisung

    OLG empfiehlt Verbrauchern Einkauf im Ladengeschäft



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Spielen mit HDR ausprobiert: In den Farbtopf gefallen
Spielen mit HDR ausprobiert
In den Farbtopf gefallen
  1. Ausgabegeräte Youtube unterstützt Videos mit High Dynamic Range
  2. HDR Wir brauchen bessere Pixel
  3. Andy Ritger Nvidia will HDR-Unterstützung unter Linux

Shadow Tactics im Test: Tolle Taktik für Fans von Commandos
Shadow Tactics im Test
Tolle Taktik für Fans von Commandos
  1. Civilization 6 Globale Strategie mit DirectX 12
  2. Total War Waldelfen stürmen Warhammer
  3. Künstliche Intelligenz Ultimative Gegner-KI für Civilization gesucht

Named Data Networking: NDN soll das Internet revolutionieren
Named Data Networking
NDN soll das Internet revolutionieren
  1. Geheime Überwachung Der Kanarienvogel von Riseup singt nicht mehr
  2. Bundesförderung Bundesländer lassen beim Breitbandausbau Milliarden liegen
  3. Internet Protocol Der Adresskollaps von IPv4 kann verzögert werden

  1. Re: 100 Euro mehr investierten und gleich zur...

    Der Spatz | 20:36

  2. Re: Abfrage der Umsätze der vergangen 30 Tage...

    robinx999 | 20:36

  3. Re: Port umlenken

    hle.ogr | 20:32

  4. Re: Erinnert an diesen neuen US-Tarnkappen...

    burzum | 20:31

  5. Re: Äußerst fragewürdiger Einfluss

    gigman | 20:24


  1. 15:33

  2. 14:43

  3. 13:37

  4. 11:12

  5. 09:02

  6. 18:27

  7. 18:01

  8. 17:46


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel