Löchrige Kommunikation: Forscher haben neue Sicherheitsmängel bei Fitness-Trackern aufgedeckt. Sie erlauben es Hackern, Daten bei der Übertragung aufs Handy oder den Server abzufangen und zu lesen. Das galt sowohl für die cloudbasierten Fitness-Tracker, als auch für jene, die die Daten nur auf dem Smartphone speichern. Hacker könnten dadurch sensible Daten über unseren Gesundheitszustand oder unsere Fitness weitergeben und manipulieren.
Fitness-Tracker die uns beim Abnehmen oder Trainieren helfen, werden immer beliebter. Oft sehen sie unauffällig, wie eine Armbanduhr aus, doch sie können einiges mehr. Viele Tracker zeichnen per GPS die gelaufenen Kilometer auf, können Herzfrequenz und Puls messen oder feststellen, ob der Träger oder die Trägerin schläft.
Doch unsere Daten interessieren nicht nur den Nutzer selbst, sondern auch Dritte. Einige Krankenkassen bieten inzwischen Rabatte an, wenn die Kunden die Daten der Fitness-Tacker zur Verfügung stellen. In den USA sind die Daten des Fitness-Trackers sogar schon als Beweismittel vor Gericht zugelassen. Doch schon im Juli entdeckten Forscher, dass Fitness-Tracker Passwörter und Pins verraten könnten.
Ahmad-Reza Sadeghi von der TU-Darmstadt hat nun noch weitere alarmierende Sicherheitslücken aufgedeckt. Sie könnten es ermöglichen, Daten abzugreifen und sie zu verändern, um sich beispielsweise finanzielle Vorteile zu erschleichen oder Gerichtsprozesse zu manipulieren.
Zugriff per „Man-in-the-middle“
Für ihre Studie testeten Sadeghi und sein Team 17 unterschiedliche Fitness-Tracker. Darunter waren Modelle von beliebten Marken, wie Xiaomi, Garmin und Jawbone, aber auch weniger bekannte Hersteller. Im Test waren sowohl Modelle die cloudbasiert arbeiten, als auch solche, die Daten nicht online austauschen, sondern direkt auf dem Smartphone speichern.
Um die Sicherheit der Fitness-Tracker zu beurteilen simulierten die Forscher einen „Man-in-the-Middle“-Angriff, bei dem ein Angreifer den Datenverkehr zwischen Fitness-Tracker und Server abfängt und kontrolliert. Für die Studie manipulierten sie die an das Smartphone oder den Server gesendeten Daten und untersuchten dabei die Sicherheit der verwendeten Kommunikationsprotokolle.
Angriff trotz HTTPS-Protokoll möglich
Das Ergebnis: Zwar sichern alle cloud-basierten Tracking-Systeme die Datenübertragung mit dem verschlüsselten Protokoll HTTPS. Trotzdem gelang es den Forschern in allen Fällen, die aufgezeichneten Daten zu manipulieren. Denn außer dem Protokoll integrierten die Hersteller kaum weitere Schutzmaßnahmen. Weder eine Ende-zu-Ende-Verschlüsselung, noch andere Sicherungen fand das Team.
Nur vier der Hersteller verwendeten einfache Maßnahmen zum Schutz der Integrität – also der Unversehrtheit und Unverändertheit – der Daten. Doch auch diese sichern die Daten nur unzureichend vor Hackern: „Diese Hürden können einen motivierten Angreifer nicht aufhalten. Schon mit wenigen Vorkenntnissen wäre es Betrügern möglich, die Daten zu verfälschen“, sagt Sadeghi.
Daten unverschlüsselt auf dem Handy
Ähnlich bedenklich sieht die Sicherheit der Daten bei den fünf Fitness-Trackern aus, die sich nur mit dem Smartphone synchronisieren. Zwar ist die Synchronisation halbwegs geschützt, aber die Hersteller speichern die Daten im Klartext, also unverschlüsselt und für jeden lesbar, auf dem Smartphone ab. Wird das Handy geklaut oder mit einer Schadsoftware infiziert, können auch diese Daten manipuliert oder illegal weitergegeben werden.
Überraschend ist außerdem, dass die Mängel laut Sadeghi einfach behoben werden könnten: „Alle Versicherungen und auch andere Dienstleister, die Fitness-Tracker einsetzen wollen, sollten sich vorher mit Sicherheitsexperten beraten“. Laut Sadeghi reichen schon Standardtechnologien aus, um die Fitness-Tracker sicherer zu machen. „Die Hersteller müssten sich nur etwas mehr Mühe geben, diese auch in die Produkte zu integrieren“.
(Technische Universität Darmstadt, 12.09.2016 – HDI)
