Kaspersky-Experte: Fitnessarmbänder sind leicht zu manipulieren

Kaspersky-Experte Roman Unucheck hat gängige Fitnessarmbänder und deren Interaktion mit Smartphones unter die Lupe genommen. Seinen Untersuchungen zufolge sind die Tracker verhältnismäßig leicht zu manipulieren.

Fitnessarmbänder sind nach der Erfahrung des Kaspersky-Experten Roman Unuckeck „einfach zu manipulieren und erlauben Dritten Zugriff auf die Daten der Träger“. Er hat die Tracker und deren Interaktion mit Smartphones aus Sicht der IT-Sicherheit unter die Lupe genommen und äußert sich vor allem über die nächste Generation von Wearable-Geräten, die einen deutlich erweiterten Funktionsumfang bieten, besorgt. Gerade weil zunehmend vertrauliche medizinische Daten im Spiel seien, fordert er die Hersteller auf, noch einmal gründlich über IT-Sicherheitsaspekte nachzudenken. Ganz neu ist die Erkenntnis nicht:

Fitnessarmbänder wie die von Jawbone sind aus Sicht der IT-Sicherheit verhältnismäßig leicht angreifbar (Bild: Jawbone).

Fitnessarmbänder wie die von Jawbone sind aus Sicht der IT-Sicherheit verhältnismäßig leicht angreifbar (Bild: Jawbone).

Bereits im vergangenen Jahr hatte Kaspersky Lab auf Schwachstellen bei „intelligenten“ Uhren und Datenbrillen hingewiesen und auch Symantec hatte gefordert, dass Fitnesstracker besseren Datenschutz brauchen. Allerdings hat sich seitdem das Gefahrenpotenzial erhöht: Erstens macht die zunehmende Nutzung derartige Geräte als Ziel für Kriminelle interessanter, zweitens tragen auch die immer weitreichenderen Funktion dazu bei, dass sich der Aufwand für Angreifer lohnen könnte. Wobei dieser Aufwand nach den Erfahrungen von Unucheck gar nicht so groß ist.

Unbefugte erlangen derzeit offenbar am einfachsten mittels einer präparierten Smartphone-App Zugriff auf Fitness-Tracker. Unucheck gelang das bei Geräten mit dem Betriebssystem Android 4.3 oder neuer. Zwar muss der Nutzer des Fitnessarmbands die Verbindung per Knopfdruck bestätigen, da er aber nicht unterscheiden kann, ob es sich um eine Pairing-Anfrage des eigenen Smartphones oder eines fremden Telefons handelt, sei dies für Kriminelle keine allzu große Hürde.

Kaspersky-Experte Robert Unucheck gelang es, mit einer von ihm entwickelten Scan-App die Kommunikation zwischen seinem Fitness-Tracker und der offiziellen, dafür gedachten Anwendung zu blockieren, obwohl diese vorher verbunden waren (Screenshot: Kaspersky Lab).

Kaspersky-Experte Robert Unucheck gelang es, mit einer von ihm entwickelten Scan-App die Kommunikation zwischen seinem Fitness-Tracker und der offiziellen, dafür gedachten Anwendung zu blockieren, obwohl diese vorher verbunden waren (Screenshot: Kaspersky Lab).

Dass Angreifer aber noch nicht in der Lage sind, wirklich wichtige Daten wie Passwörter oder Kreditkartennummern zu stehlen, räumt Unucheck allerdings ein. Er betont aber: „Es gibt Wege für Angreifer, um von den Geräteentwicklern ungepatchte Schwachstellen auszunutzen.“ Weiterhin gibt er zu bedenken: „Die aktuellen Fitness-Tracker sind noch nicht allzu ausgereift: Sie können Schritte zählen und Informationen über Schlafphasen erheben, aber kaum mehr als das. Die kommende Generation dieser Geräteklasse steht jedoch schon in den Startlöchern und wird mehr Nutzerdaten sammeln können als zuvor. Daher sollte man sich schon jetzt Gedanken um die Sicherheit dieser Geräte machen – und wie die Interaktion zwischen einem Tracker und einem Smartphone angemessen geschützt werden kann.“

Da die Möglichkeiten für den einzelnen Anwender gering sind, empfiehlt Kaspersky Lab Nutzern daher, Druck auf die Hersteller zu machen: Sie sollen mit dem jeweiligen Hersteller Kontakt aufnehmen und klären, ob die Produkte von den Angriffswegen betroffen sind. Einer davon ist etwa die Funktionsweise von Bluetooth LE, die schon früher als mögliches Sicherheitsrisiko in die Kritik geraten ist. Unucheck nutzte die Tatsache aus, dass es kein allgemeines Passwort gibt, da die meisten derzeit verkauften Armbänder weder über Bildschirm noch Tastatur verfügen und Armbänder mit Bluetooth-LE-Unterstützung daher das Generic Attribute Profil (GATT) verwenden.

Was Fitness-Tracker alles wissen, hat bereits im August 2014 Symantec als bedenklich bezeichnet (Grafik: Symantec).

Was Fitness-Tracker alles wissen, hat bereits im August 2014 Symantec als bedenklich bezeichnet (Grafik: Symantec).

Mit Hilfe eines bereits vorhanden App-Beispiels aus dem Android SDK ist es ihm dadurch gelungen, sich mit mehreren Geräten zu verbinden. Eine ihm entwickelte App, die automatisch nach Geräten mit Bluetooth-LE sucht und einen Verbindungsaufbau startet war innerhalb von zwei Stunden in der Moskauer U-Bahn bei 19 Geräten erfolgreich: Elf davon stammten von Fitbit, acht vom Hersteller Jawbone.

In einem Fitnessclub in der Stadt Bellevue im US-Bundesstaat Washington gelang es ihm sogar innerhalb einer Stunde, 25 Geräte zu erkennen: 20 von Fitbit und je eines von Nike, Jawbone, Microsoft, Polar und Quans. Auf der IT-Sicherheitskonferenz SAS2015 im mexikanischen Cancún schaffte er dies binnen zwei Stunden mit zehn Fitness-Trackern, diesmal nur Modellen von Jawbone und Fitbit.

[Mit Material von Peter Marwan, ZDNet.de]

Anja Schmoll-Trautmann
Autor: Anja Schmoll-Trautmann
Redakteurin
Anja Schmoll-Trautmann Anja Schmoll-Trautmann Anja Schmoll-Trautmann

Neueste Kommentare 

Noch keine Kommentare zu Kaspersky-Experte: Fitnessarmbänder sind leicht zu manipulieren

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *