Fitness Tracker: Klaffende Sicherheitslücken und Probleme beim Datenschutz

Fitness Tracker sind in Kombination mit den passenden Apps eine feine Sache: Via Runtastic z. B. Tipps beim Laufen zu bekommen, während der Tracker den Puls misst und die Kalorien zählt, kann den Hobby-Sport definitiv aufwerten. Allerdings gibt es mit den Trackern auch gewaltige Probleme, wie eine Untersuchung von Open Effect und Citizen Lab gezeigt hat. Man hat sich acht Fitness-Wearables zur Brust genommen und deren Sicherheit überprüft. Unter den getesteten Geräten waren sowohl günstige Gadgets wie das Xiaomi Mi Band als auch Premium-Produkte wie die Apple Watch. Das Ergebnis fiel allerdings allseits vernichtend aus.

So bieten die Fitness Tracker und Wearables allesamt sowohl im Bezug auf die Hard- als auch Software viel Angriffsfläche für Dritte. Als Schwachstelle erweist sich wenig überraschend die Bluetooth-Verbindung zwischen Smartphones und Trackern. So ist es für Hacker möglich, bei Pairing-Versuchen oder Datenübertragungen eventuell selbst Informationen abzuzweigen. Da die Tracker eben gemäß ihres Funktionszwecks für sportliche Ertüchtigungen gebraucht werden, könnten Bewegungsprofile in falsche Hände gelangen. Dadurch könnten Hacker etwa auswerten, wann der jeweilige Träger meistens auf Jogging-Tour geht, von welcher Adresse aus der- / diejenige startet. Um jene Uhrzeiten ließe sich dann ein Einbruch an der abgegriffenen Adresse planen.

Bei sieben der acht getesteten Fitness Tracker ließ sich auch die MAC-Adresse abgreifen - nur die Apple Watch nutzte hier die Möglichkeit von Bluetooth 4.0, um die MAC-Adresse in regelmäßigen Intervallen zufällig zu ändern. Angriffsflächen liefern aber nicht nur die Tracker an sich, sondern auch die Apps. Beispielsweise haben im Test die mobilen Anwendungen von Garmin (unter iOS und Android) und Withings (unter Android) sogar so eklatante Lücken, dass Dritte die Daten auslesen und sogar verändern könnten. Speziell die App Garmin Connect gerät im Rahmen der Studie in die Kritik, da hier laut den Urhebern der Untersuchung selbst einfache Schutzmaßnahmen vernachlässigt würden.

Theoretisch ließen sich die Sicherheitslücken der Fitness Tracker auch im großen Stil kommerziell missbrauchen: Etwa könnten in einem Einkaufszentrum die Kunden und ihre Bewegungen im Shopping-Bereich unbemerkt getrackt werden - bei jedem wiederkehrenden Besuch. Laut den Forschern hätten die Hersteller auf die Hinweise zu den Sicherheitslücken jedoch kaum oder gar nicht reagiert. Offenbar wird das Problem also derzeit als unwichtig zu den Akten gelegt.

Ähnlich lief es anfangs auch bei Smartphones und Tablets, doch heute nehmen die Hersteller die Sicherheit der mobilen Endgeräte deutlich ernster. Das wäre auch für Fitness Tracker, Smartwatches und andere Wearables zu wünschen. Sowohl die Hard- als auch die Software ist aktuell der schwächste Glied in der Kette der mobilen Endgeräte. Bleibt zu hoffen, dass sich hier bald Besserung einstellt. Wer mehr zur Sicherheitsstudie von Open Effect und Citizen Lab erfahren möchte, findet hier alle weiteren Daten und alle Ergebnisse.