13.07.2015, 13:50 Uhr
9 Fitness-Tracker im Sicherheitstest
Beim Test von neun beliebten Fitness-Trackern traten teils gravierende Sicherheitsmängel zutage. Computerworld zeigt, welches sportliche Gadget auch beim Datenschutz überzeugt.
*Der Autor ist seit 2013 Volontär bei der Neuen Mediengesellschaft Ulm. Der Artikel erschien ursprünglich in unserer Schwesterpublikation «com-magazin.de».
Fitness-Armbänder liegen voll im Trend. Wie IDC prognostiziert, werden dieses Jahr weltweit wohl über 40 Millionen Tracker verkauft. Das sind bereits mehr als doppelt so viele wie im Vorjahr.
Die kompakten Begleiter zeichnen sportliche Erfolge auf, helfen bei der Trainingsauswertung und sollen für anhaltende Motivation sorgen. Leider kommt dabei oft die Sicherheit der gesammelten Daten zu kurz, wie die Prüfer bei «AV-Test» festgestellt haben. Die Experten haben insgesamt neun Fitness-Armbänder miteinander verglichen und ermittelt, wie sorgfältig die Geräte mit den aufgezeichneten Daten umgehen.
In der Computerworld-Bilderstrecke werden alle Testandidaten miteinander verglichen. Mit dabei sind die Geräte «Acer Liquid Leap», «FitBit Charge», «Garmin Vivosmart», «Huawei TalkBand B1», «Jawbone Up24», «LG Lifeband Touch FB84», «Polar Loop», «Sony Smartband Talk SWR30» und «Withings Pulse Ox».
Bluetooth-Gefahr
Im Test stand zuerst die Datenübertragung vom Fitness-Armband zum Smartphone im Fokus. Dabei versuchten die Prüfer, Datensätze während des Live-Betriebs abzufangen oder auszulesen. Alle getesteten Geräte sind auf eine «Companion»-App auf dem Smartphone angewiesen und kommunizieren mit dieser via Bluetooth.
Die erste Test-Kategorie befasste sich mit dem Pairing der Geräte, also dem Anbinden an das Smartphone. Dabei wurde unter anderem untersucht, ob die Verbindung mit oder ohne Authentifizierung aufgebaut wird und welche Fitness-Armbänder für andere Geräte sichtbar - und damit noch leichter zu knacken - sind.
Einzig das «Garmin Vivosmart» und das «LG Lifeband Touch» ermöglicht es Sportlern, Bluetooth manuell zu deaktivieren. Die Geräte von Sony, Polar und Withings sind nach erfolgtem Pairing immerhin nicht mehr sichtbar für andere Geräte.
Negativ fielen hingegen das «Acer Liquid Leap» und das «FitBit Charge» auf - beide Geräte sind stets über Bluetooth sichtbar.
Lesen Sie auf der nächsten Seite: «Unverschlüsselte Daten»
Unverschlüsselte Daten
Im nächsten Schritt überwachte AV-Test, wie die Daten auf der Smartphone-App eingehen beziehungsweise ob Daten nur auf der App des gepairten Smartphones einzusehen sind. Für Überraschung sorgte hier vor allem das «FitBit Charge». Das Armband kommuniziert munter mit allen Smartphones in Reichweite und verlangt dabei weder nach einer PIN noch nach anderen Authentifizierungen.
Dies ist besonders brisant, da die zugehörige App von «FitBit» standardmässig auf HTC-Smartphones der Reihe «One M8» und «M9» vorinstalliert ist. Jeder Besitzer eines solchen Smartphones kann damit die Fitness-Daten von «FitBit»-Nutzern im Umfeld auslesen. Auch andere Companion-Apps auf dem Smartphone waren nicht fehlerfrei. So gaben etwa die Apps von Polar und LG Log-Informationen aus. Diese können Angreifer dazu nutzen, die aufgezeichneten Daten auszulesen.
Bei der Synchronisation mit Cloud-Diensten überzeugten hingegen alle getesteten Lösungen: die Übertragung erfolgte durchgehend via HTTPS.
Insgesamt haben die Tester eine positive Bilanz zu den Fitness-Armbändern gezogen. Maik Morgenstern, CTO von AV-Test, betont allerdings: «Da Fitness-Tracker bei Krankenkassen und Versicherungskonzernen noch eine grosse Rolle spielen werden, müssen die Anbieter ihre Sicherheitskonzepte überarbeiten und verbessern.»
Die besten Sicherheitskonzepte im Test wiesen das «Sony Smartband Talk SWR30» und die «Polar Loop» auf. Der Tracker von Polar ist hierzulande bereits für deutlich unter 100 Franken erhältlich. Schlusslicht war das «Acer Liquid Leap».