Maik Morgenstern, CTO AV-TEST GmbH



Ähnliche Dokumente
Outlook. sysplus.ch outlook - mail-grundlagen Seite 1/8. Mail-Grundlagen. Posteingang

Lineargleichungssysteme: Additions-/ Subtraktionsverfahren

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

erstellt von Markus Selinger

Anleitung über den Umgang mit Schildern

icloud nicht neu, aber doch irgendwie anders

Nicht kopieren. Der neue Report von: Stefan Ploberger. 1. Ausgabe 2003

Statuten in leichter Sprache

L10N-Manager 3. Netzwerktreffen der Hochschulübersetzer/i nnen Mannheim 10. Mai 2016

Papa - was ist American Dream?

Ist Fernsehen schädlich für die eigene Meinung oder fördert es unabhängig zu denken?

DOKUMENTATION VOGELZUCHT 2015 PLUS

Enigmail Konfiguration

Terminabgleich mit Mobiltelefonen

1 Belastung. 1.1 Standortbestimmung 1.2 Belastungsvorhersage 1.3 Favoriten

Kapitel 3 Bilder farblich verändern - Arbeiten mit Objekten

S/W mit PhotoLine. Inhaltsverzeichnis. PhotoLine

Darum geht es in diesem Heft

Nokia Handy - Daten sichern.

ecaros2 - Accountmanager

Punkt 1 bis 11: -Anmeldung bei Schlecker und 1-8 -Herunterladen der Software

Einrichtung einer eduroam Verbindung unter dem Betriebssystem Android

MSXFORUM - Exchange Server 2003 > SMTP Konfiguration von Exchange 2003

Wir machen neue Politik für Baden-Württemberg

Password Depot für ios

Speicher in der Cloud

Handbuch. NAFI Online-Spezial. Kunden- / Datenverwaltung. 1. Auflage. (Stand: )

TESTEN SIE IHR KÖNNEN UND GEWINNEN SIE!

Was ist Sozial-Raum-Orientierung?

Anleitung zur Daten zur Datensicherung und Datenrücksicherung. Datensicherung

Erstellen einer Collage. Zuerst ein leeres Dokument erzeugen, auf dem alle anderen Bilder zusammengefügt werden sollen (über [Datei] > [Neu])

Hilfedatei der Oden$-Börse Stand Juni 2014

! " # $ " % & Nicki Wruck worldwidewruck

Welche Bereiche gibt es auf der Internetseite vom Bundes-Aufsichtsamt für Flugsicherung?

DAVID: und David vom Deutschlandlabor. Wir beantworten Fragen zu Deutschland und den Deutschen.

Elexis-BlueEvidence-Connector

Professionelle Seminare im Bereich MS-Office

inviu routes Installation und Erstellung einer ENAiKOON id

Kulturelle Evolution 12

Widerrufrecht bei außerhalb von Geschäftsräumen geschlossenen Verträgen

Logics App-Designer V3.1 Schnellstart

MaklerManager Ergänzung zum Handbuch 2.0

Das sogenannte Beamen ist auch in EEP möglich ohne das Zusatzprogramm Beamer. Zwar etwas umständlicher aber es funktioniert

GeoPilot (Android) die App

Studieren- Erklärungen und Tipps

Vorratsgesellschaften Der schnelle Weg zum eigenen Unternehmen interna

Dokumentation PuSCH App. android phone

Nina. bei der Hörgeräte-Akustikerin. Musterexemplar

Webalizer HOWTO. Stand:

Qualität und Verlässlichkeit Das verstehen die Deutschen unter Geschäftsmoral!

Anleitung für die Hausverwaltung

Kommentartext Medien sinnvoll nutzen

Thema 1: Fotos im Internet verwenden

1.3. Installation und Konfiguration von Filr Desktop

Erfahrungen mit Hartz IV- Empfängern

Kurze Anleitung zum Guthaben-Aufladen bei.

Wärmebildkamera. Arbeitszeit: 15 Minuten

Nachts in der Stadt. Andrea Behnke: Wenn es Nacht wird Persen Verlag

ONLINE-AKADEMIE. "Diplomierter NLP Anwender für Schule und Unterricht" Ziele

Was ich als Bürgermeister für Lübbecke tun möchte

Informationen zum Ambulant Betreuten Wohnen in leichter Sprache

Synchronisations- Assistent

HANDBUCH PHOENIX II - DOKUMENTENVERWALTUNG

Alle Schlüssel-Karten (blaue Rückseite) werden den Schlüssel-Farben nach sortiert und in vier getrennte Stapel mit der Bildseite nach oben gelegt.

Professionelle Seminare im Bereich MS-Office

Manager. von Peter Pfeifer, Waltraud Pfeifer, Burkhard Münchhagen. Spielanleitung

GrafStat WIE FÜHRE ICH ONLINE-UMRAGEN DURCH?

Windows 10 > Fragen über Fragen

SMS/ MMS Multimedia Center

Internationales Altkatholisches Laienforum

Erweitertes Kalkulationsfenster

SO FUNKTIONIERT DIE VERBINDUNG MIT LIFETIME TOMTOM TRAFFIC

Matrix42. Use Case - Sicherung und Rücksicherung persönlicher Einstellungen über Personal Backup. Version September

Eva Douma: Die Vorteile und Nachteile der Ökonomisierung in der Sozialen Arbeit

Dokumentation PuSCH App. android phone

Elternzeit Was ist das?

GEVITAS Farben-Reaktionstest

Alle gehören dazu. Vorwort

Downloadfehler in DEHSt-VPSMail. Workaround zum Umgang mit einem Downloadfehler

mobifleet Beschreibung 1. Terminverwaltung in der Zentrale

Buchhaltung mit WISO EÜR & Kasse 2011

Dokumentenverwaltung im Internet

Kurzanleitung der Gevopa Plattform

Webgestaltung - Jimdo 2.7

Das Leitbild vom Verein WIR

Zwischenablage (Bilder, Texte,...)

Für uns ist es nicht nur ein Möbelstück.

Den Durchblick haben. VOLKSBANK BAD MÜNDER eg. Online aber sicher: Unsere Produkt- und Sicherheitshotline hilft und informiert

Das Freiwillige Soziale Jahr. Der Bundes-Freiwilligen-Dienst

ACHTUNG: Es können gpx-dateien und mit dem GP7 aufgezeichnete trc-dateien umgewandelt werden.

Geld Verdienen im Internet leicht gemacht

Primzahlen und RSA-Verschlüsselung

Ein Betriebsrat. In jedem Fall eine gute Wahl.

BILDER TEILEN MIT DROPBOX

CodeSaver. Vorwort. Seite 1 von 6

Bedienung des Web-Portales der Sportbergbetriebe

Informationen als Leistung

Info zum Zusammenhang von Auflösung und Genauigkeit

Willkommen bei Dropbox!

Handbuch Fischertechnik-Einzelteiltabelle V3.7.3

Transkript:

22. Juni 2015 erstellt von Markus Selinger Test: Fitness-Armbänder legen Daten offen Fitness-Armbänder speichern und übertragen die Daten des Tragenden direkt zum Smartphone und dann meist ohne Umwege in die Cloud. Ist das sicher? Kann eventuell jeder die Daten sehen, manipulieren oder auch nutzen? AV- TEST hat 9 Fitness-Armbänder untersucht und empfiehlt einigen Herstellern dringend Umbauarbeiten an ihrem Sicherheitskonzept. Die neuen Fitness-Armbänder sehen nicht nur hipp aus, sondern liegen auch im Trend: mehr Fitness muss sein und alle Leistungsergebnisse werden in einer App aufgefangen und ausgewertet. So sieht der Nutzer gleich, wie gut sich die Plackerei gelohnt hat. Aber sind die Daten sicher auf dem Weg vom Armband zum Smartphone? Oder kann sich hier vielleicht jemand einklinken, die Daten kopieren oder sogar manipulieren? Dieser Frage ist man im Labor von AV-TEST nachgegangen und hat 9 Fitness-Armbänder, oder auch Tracker genannt, im Live-Betrieb samt der dazugehörigen Android-App untersucht, belauscht und auf ihre Sicherheit geprüft. Im Test wurden keine Sperren geknackt oder sonstige digitale Brecheisen genutzt. Es wurde nur die Kommunikation belauscht und ausgewertet, sowie die App auf ihre Sicherheit und die Art der Datenverwaltung überprüft. Bei einigen Produkten sorgte das aktuelle Sicherheitskonzept für eine eindeutige Experten-Meinung: von der Nutzung ist abzuraten. Wer will schon meine Daten? Auch wenn die Fitness-Daten noch ohne persönliche Daten wie Name und Anschrift verwaltet werden, so sind sie für manche eine lohnende Beute. Wenn man etwa in den USA durch den Tracker eine gute Fitness nachweist, bekommt man bei seinem privaten Krankenversicherer günstigere Tarife. Warum sollte man da nicht die Daten des gleichaltrigen Nachbarn mit erheblich besserer Fitness nutzen? Wer die amerikanischen Preise für eine Krankenversicherung kennt, weiß, wie hoch hier das kriminelle Potential sein kann. Und wenn Tracker sich manipulieren lassen, wird es nicht lange dauern, bis Kids zum Spaß dem joggenden Yuppie den Blutdruck und die Pulsdaten etwas in die Höhe schieben und so dem Hypochonder mehr Spielraum geben. Der aktuelle Test zeigt: mögliche Angriffspunkte sind genügend vorhanden. 9 Fitness-Armbänder im Test Alle Produkte wurden vom Labor auf dem freien Markt eingekauft. Daher befinden sich nur Armbänder im Test, die auch während der Testzeit in Deutschland erhältlich waren. So ist zum Beispiel das Microsoft-Band nicht im Test dabei. Weiterhin sollte das Produkt nicht an ein spezielles Smartphone gebunden sein, wie das etwa beim Samsung-Tracker der Fall wäre. Alle Produkte arbeiten mit Hilfe einer Verbindungs-App auf einem beliebigen Android-Smartphone. Im Labor haben sich folgende Armbänder zum gemeinsamen Test eingefunden: - Acer Liquid Leap - FitBit Charge - Garmin Vivosmart - Huawei TalkBand B1 - Jawbone Up24 - LG Lifeband Touch FB84 - Polar Loop - Sony Smartband Talk SWR30 - Withings Pulse O Im weiteren Testverlauf wurde die Acer Liquid Leap besonders unter die Lupe genommen, denn das Produkt hat Acer zugekauft und umgelabelt. Das baugleiche Produkt wird auch von den Firmen Striiv (Touch), Tofasco (3 Plus Swipe) und Walgreens (Activity Tracker) angeboten. Allerdings ist nicht klar, ob die anderen Anbieter die App und die Firmware der Armbänder verändert haben. Im ersten Testschritt wurden auf den Test-Smartphones die jeweiligen Auswertungs-Apps für die Fitness-Daten installiert. Danach wurden alle Fitness-Armbänder für den Test, wie in der jeweiligen Beschreibung vorgesehen, per Bluetooth- Kommunikation mit dem Android-Smartphone gepaart. Teilweise mussten dazu PINs eingegeben werden. Bluetooth-Pairing funktioniert recht sicher Die Fitness-Armbänder arbeiten alle mit einer Bluetooth-Verbindung. Die bekannten Probleme: bleiben die Geräte nach einer Verbindung sichtbar? Was ist nötig zum paaren der Geräte? Schaltet sich Bluetooth nur kurz zum Datenübertragen ein und dann wieder ab? x

Die Bluetooth-Verbindung lässt sich nur bei den Produkten Garmin Vivosmart und LG Lifeband Touch Bluetooth manuell deaktivieren. Die Tracker von Sony, Polar und Withings sind nach dem Paaren nicht mehr sichtbar für andere Bluetooth-Geräte. Das Huawei-Band deaktiviert Bluetooth, wenn es für längere Zeit die Verbindung zum gepaarten Smartphone verliert. Das Jawbone-Band ist zwar nach dem Paaren auch unsichtbar für andere Geräte, aber verliert es die Verbindung, dann bleibt es zum Teil für mehrere Stunden sichtbar. Bei allen anderen Bändern bleibt Bluetooth aktiv und sie sind so sichtbar für andere Bluetooth-Geräte und somit auch für eventuelle Angreifer. Zum Verbinden von Armband und Smartphone reicht bei einigen Produkten jeweils das Bestätigen eines angezeigten Hinweises mit OK". Das Sony Smartband SWR30 verbindet sich auch automatisch via NFC, aber nur mit bekannten, vertrauten Geräten. Andere zeigen eine PIN an, die eingegeben werden muss. Bei einem Gerät stellten die Tester fest, dass die geforderte PIN für findige Geister und geübte Hacker so gut wie mitgeliefert wird. Das ist natürlich fatal. Der Hersteller wurde zwar informiert, wird aber an dieser Stelle nicht namentlich genannt. Funkt Bluetooth im Klartext? Im nächsten Schritt des Tests wurden die mit Bluetooth verbundenen Geräte belauscht und so überprüft, ob diese nur mit authentifizierten Apps kommunizieren, oder ihre Infos jeder App anbieten. Wenn man mitlesen konnte, dann wurde analysiert, was so mitgeteilt wurde. Das Fitness-Armband FitBit Charge versetzte die Tester in Staunen: Jedes Smartphone mit Bluetooth ist bei dem Fitness- Tracker willkommen. Es fragt nicht nach einer PIN oder anderen Authentifizierungen es verbindet sich einfach und übergibt freiwillig alle seine Daten. Diese werden auch nicht verschlüsselt oder anderweitig geschützt. Die FitBit-App ist zurzeit auf allen neuen HTC-Geräten der Reihe One M8 und M9 vorinstalliert. Alleine das One M8 soll laut unbestätigten Informationen weltweit zwischen 500.000 und 1 Million Mal verkauft worden sein. Die Produkte von Jawbone und Huawei lassen zu, die erfassten Daten zu teilen. Jedes gepaarte Gerät, welches die passende App hat, bekommt automatisch auch die aktuellen Fitness-Daten ausgeliefert. Etwas ungeschickt stellte sich das Band Withings Pulse O an: es liefert die gespeicherten Daten an das aktuell gepaarte Gerät. Wählt man ein zuvor gepaartes Gerät als Empfänger aus, dann initialisiert sich der Tracker neu und löscht alle vorhandenen Daten. Wie sicher sind die Apps der Fitness-Tracker? Wenn sich die Verbindung zwischen Armband und Smartphone nicht angreifen lässt, dann kann die nächste Schwachstelle die Smartphone-App für die Fitness-Daten sein. So könnte eine vermeintliche Spiele-App etwa verbundene Tracker nach den Daten fragen. Setzt der Tracker eine Authentifikation ein, dann bleibt die Nachfrage unbeantwortet. Nächster Schwachpunkt ist die App selbst. Angreifer schauen sich als Erstes den Programmcode an. Ist die App sauber programmiert, so ist der Code mit Standard-Hilfsmitteln verschleiert". Erst so wird effektiv ein Reverse-Engineering der App erschwert. Auch sogenannte Log"- oder Debug"-Infos darf eine fertige App nicht mehr liefern. Denn mit diesen Infos lässt sich die Arbeitsweise der App leicht nachvollziehen. Verräterische Log-Informationen im Gepäck Die Tester haben alle genannten Punkte im Labor geprüft. Nur 5 der 9 Fitness-Apps verschleiern effektiv ihren Code. Von den übrigen 4 verstauen immerhin 3 (Acer, Garmin und LG) ihre Kommunikations-Protokolle in verteilten Programm-Bibliotheken. Dies kann auch ein wirksamer Weg zum Schutz der Code-Analyse durch Angreifer sein. Lediglich die Apps von Polar und Sony nutzen beide Schutztechniken. Die Apps von Polar und LG geben aber immer noch Log-Informationen aus. Das macht es Angreifern eventuell leicht, die App dank der vielen Hinweise zu zerlegen und anzugreifen. Die Log-Informationen machen selbst einen eigentlich verschleierten Code wieder sichtbar, da sie wie ein Wegweiser dienen. Selbstgebaute App steuert den Fitness-Tracker Das Labor hat in einem kleinen Versuch einfach Teile der App für das Acer Armband in eine eigene App eingefügt und dann das Acer-Fitness-Armband angesprochen. Dieses lieferte ohne weiteres alle Daten ab, so als wäre es mit der Original-App verbunden. Die Experten konnten sogar die Daten teilweise manipulieren und wieder zurückschicken. Somit war der Tagessport in wenigen Sekunden ohne einen Tropfen Schweiß erfüllt. Weiterhin konnten die Tester die anderen Funktionen des Armbands beeinflussen. So ließen sich auch Alarme verändern und sogar der Nutzer aus dem Armband löschen. Dabei initialisierte sich das Acer-Armband komplett neu und löschte alle vorhandenen Daten. Acer kauft dieses Fitness-Armband nur ein und hat ihm seinen Brand aufgedrückt. Das baugleiche Band wird auch von Striiv, Tofasco und Walgreens verkauft. Falls die Anbieter keine veränderte App oder eine andere Firmware nutzen, haben sie die gleichen Sicherheitsrisiken wie die Acer Liquid Leap. x

Gerootete Smartphones sind doppelt gefährdet Einige Nutzer hebeln den Root-Schutz ihres Smartphones aus und ermöglichen so den Zugriff auf die eigentlich geschützte oberste Betriebssystemebene von Android. Diese Anwender haben zwar so mehr Macht über ihr Android, aber sie zahlen dafür einen hohen Preis in Sachen Sicherheit. Denn viele Apps schreiben ihre sensiblen Daten in einen geschützten Speicher, auf den andere Apps keinen Zugriff haben. Das Rooten des Smartphones hebt diesen Schutz auf. Viele der Fitness-Apps schreiben ihre sensiblen Daten in Klartext in den sicheren Speicher. Im Test wurde ein Gerät gerootet und die Daten darin analysiert: einige Apps legten dort Transaktions-Schlüssel ab, Zugangs-IDs oder sogar Passwörter. Eine auf Angriff gepolte App kann so die Daten auslesen und verwenden. Sichere Verbindung in die Cloud Bei der Übertragung der Daten ins Internet folgen die Apps der Fitness-Tracker aktuellen Sicherheitsstandards. So nutzen Apps zur Verbindung das HTTPS-Protokoll oder andere sichere Kanäle und senden die Daten verschlüsselt. Ob die Portale oder Empfangsstellen in der Cloud sicher sind, hat das Labor in diesem Test nicht geprüft. Fazit: Viele Bänder können es ganz gut Trotz kleiner Verbesserungsmöglichkeiten haben die Produkte Sony Smartband Talk SWR30 und die Polar Loop die solidesten Sicherheitskonzepte. Die weiteren Fitness-Tracker rangieren mit ihrer Sicherheit dahinter und stehen daher in der Risikobewertung weiter vorne. Das Produkt mit der höchsten Wahrscheinlichkeit, dass ein Angriff erfolgreich sein könnte, ist Acer Liquid Leap. Die Studie von AV-TEST mit allen technischen Einzelergebnissen können Sie in diesem PDF nachlesen: Internet of Things: Security Evaluation of nine Fitness Trackers. Spaß und Risiko bei Fitness-Armbändern Es ist sicher nicht schlecht, wenn ein kleines Fitness-Armband die Menschen der Welt anspornt, gesünder und fitter zu leben. Massive Werbekampagnen unterstützen den Trend und fordern zum Kauf der Innovation auf. Aber auch hier werden die gleichen Fehler wie in anderen Bereichen des Internet of Things gemacht: Sicherheit ist nur eine Randnotiz. Etablierte Ansätze wie Authentifizierung und Verschlüsselung werden nicht oder schlecht genutzt. Da Fitness-Tracker bei Krankenkassen und Versicherungskonzernen noch eine große Rolle spielen werden, müssen die Anbieter ihre Sicherheitskonzepte überarbeiten und verbessern. Die Risikobewertung des Labors zeigt, dass kein Produkt das höchste Maß an Sicherheit erreicht hat. Die teils heiklen Ergebnisse hat AV-TEST ungeschminkt an die Hersteller weitergeleitet. Nach einer gewissen Zeit werden die Labormitarbeiter wohl wieder zwangsweise mehr Sport machen müssen, wenn es in eine zweite Testrunde geht. Dann wird man sehen, wie und ob die Hersteller reagiert haben. Maik Morgenstern, CTO AV-TEST GmbH

9 Fitness-Armbänder im Sicherheitstest

Sicherheitscheck: Nur wenige Fitness-Armbänder haben ein geringes Sicherheitsrisiko (AV-TEST 06/2015).

Testaufbau: Alle Armbänder wurden normal via Bluetooth mit dem Smartphone gepaart. Zusätzlich zur Hersteller-App wurde getestet, ob eine selbstgebaute App zum Abfangen der Daten genutzt werden kann. Sony SmartBand Talk: Das Fitness-Armband und die App arbeiten gut zusammen und zeigten im Test das geringste Sicherheitsrisiko.

FitBit Charge: Der Fitness-Tracker nahm im Test jegliche Anfrage zur Paarung via Bluetooth an auch von fremden Smartphones. Copyright 2015 by AV-TEST GmbH, Klewitzstr. 7, 39112 Magdeburg, Germany Phone +49 (0) 391 60754-60, Fax +49 (0) 391 60754-69, www.av-test.org

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback