Nachgebaute App überlistet Fitness-Tracker Nachgebaute App überlistet Fitness-Tracker - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


22.06.2015 pte

Nachgebaute App überlistet Fitness-Tracker

Der Fitness-Tracker "Acer Liquid Leap" lässt sich mit einer nachgebauten App gezielt manipulieren. Viele Devices sollten daher am Sicherheitskonzept arbeiten. Zu diesem Schluss kommt das IT-Security-Unternehmen AV-Test, das neun Geräte näher unter die Lupe genommen hat. Besonders das Fitness-Armband "FitBit Charge", das sich mit jedem Smartphone verbindet und über Bluetooth verfügt, hat für Verwunderung gesorgt. Ohne Pin oder andere Authentifizierungen werden Daten an Dritte weitergegeben.

Fitness-Tracker: Nicht alle sind sicher

Fitness-Tracker: Nicht alle sind sicher

© Dmytro Titov - Fotolia.com

"Acer, Fitbit und LG haben insgesamt weniger an Sicherheit gedacht als etwa Sony, das nur einen Kritikpunkt in unserem Test aufweist", erklärt AV-Test-CEO Andreas Marx gegenüber dem Nachrichtenportal pressetext. Sitze ein Angreifer nahe genug am Tracker, so seien die Angriffe via Bluetooth am relevantesten. "Der Angreifer kann natürlich auch Daten während des Zugriffs auf die Cloud abfangen - also wenn die Fitness-App Daten ins Internet überträgt oder vor dort aus Informationen lädt", ergänzt der Experte. Hier wäre etwa der Zugriff in einem öffentlichen WLAN denkbar oder auch von einem Geheimdienst.

In einem Versuch hat AV-Test selbst eine Fitness-App erstellt, welche den Acer-Tracker tatsächlich wie die Original-App angesprochen hat. So konnten die Tester ohne Weiteres an die Daten herankommen, diese zum Teil manipulieren und wieder zurückschicken. Dadurch war es ihnen möglich, Alarme zu verändern sowie den Nutzer aus dem Armband zu löschen.

"Hierbei muss unterschieden werden, ob ich die Daten nutzen möchte, um beispielsweise weniger für meine Krankenversicherung zu zahlen, oder nur jemanden ärgern will, indem ich seine Daten lösche", fügt Marx hinzu. Bei diesem Produkt handelt es sich um ein Fitness-Device, das lediglich von Acer gekauft wurde. Laut Testbericht sind gerootete Smartphones besonders gefährdet. Dabei wird der geschützte Speicher, in denen viele Fitness-Apps ihre Daten ablegen, freigelegt.

VERSCHLEIERTER CODE
Den Ergebnissen zufolge lässt sich die Bluetooth-Verbindung nur bei den Devices "Garmin Vivosmart" und "LG Lifeband Touch" manuell deaktivieren. Die Gadgets von Sony, Polar und Withings sind nach einmaligem Paaren nicht mehr sichtbar für andere Geräte. Der Huawei-Tracker deaktiviert Bluetooth, wenn für längere Zeit keine Verbindung zu einem Smartphone besteht. Obwohl das "Jawbone-Band" nach der Verbindung verborgen für andere Handys ist, bleibt es für mehrere Stunden sichtbar, wenn die Verbindung abbricht. Bei allen anderen Bändern bleibt Bluetooth aktiv und bietet somit eine ideale Angriffsfläche für Datendiebe.

Weitere Schwachstellen haben sich bei den Smartphone-Apps der Fitness-Tracker offenbart. Nur fünf der neun Fitness-Apps verschleiern ihren Code ausreichend. Die drei Modelle von Acer, Garmin und LG verstauen zumindest ihre Kommunikations-Protokolle in verteilten Programm-Bibliotheken. Diese Methode kann ebenfalls vor einer Code-Analyse schützen. Schutztechniken werden lediglich von Polar und Sony genutzt. Dennoch geben die Apps von Polar und LG Log-Informationen aus, die von Angeifern genutzt werden können, um den Code zu entschlüsseln, selbst wenn dieser effektiv verschleiert ist.

Getestet wurden die Armbänder "Acer Liquid Leap", "FitBit Charge", "Garmin Vivosmart", "Huawei TalkBand B1", "Jawbone Up24", "LG Lifeband Touch FB84", "Polar Loop", "Sony Smartband Talk SWR30" und "Withings Pulse Ox". Im ersten Testschritt wurden die Auswertungs-Apps für die Fitness-Daten auf den Test-Smartphones installiert. Anschließend sind die Fitness-Tracker via Bluetooth mit den Smartphones verbunden worden. (pte)

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • Bechtle IT-Systemhaus Österreich

    Bechtle IT-Systemhaus Österreich WLAN-Systeme, Netzwerk-Systeme (LAN, MAN, WAN), Netzwerk-Management, Server-Betriebssysteme, Verschlüsselungs- und Kryptografie Software, Security Audits, Notfalls-Rechenzentren,... mehr
  • abaton EDV-Dienstleistungs GmbH

    abaton EDV-Dienstleistungs GmbH VPN, Überwachungssysteme, SPAM-Filter, Notfalls-Rechenzentren, Firewalls, Datensicherung, Backup und Recovery Systeme,... mehr
  • SER Solutions Österreich GmbH

    SER Solutions Österreich GmbH Werbewirtschaft, Wasser- und Energieversorgung, Vereine und Verbände, Umweltschutz, Touristik, Personenverkehr, Öffentliche Verwaltung,... mehr
  • Dimension Data Austria GmbH

    Dimension Data Austria GmbH Call Center, IKT-Consulting, Migrations-Management, Outsourcing, Systemintegration und Systemmanagement, Systempflege- und Wartung mehr

Hosted by:    Security Monitoring by: