AV-Test: Wie leicht lassen sich Fitness-Armbänder die Daten stehlen?
Im Zuge des Fitness-Hypes, der von den immer besseren Tracking-Möglichkeiten von Smartphones ausging, finden Fitness-Armbänder derzeit eine immer stärkere Verbreitung. Wer allerdings Wert auf den Schutz seiner Daten legt, ist bei einigen Herstellern denkbar schlecht beraten.
Infografik: AV-Test: Sicherheit von Fitness-Armbändern
Das Unternehmen AV-Test hat eine Reihe von gängigen Modellen einem entsprechenden Test unterzogen und empfiehlt verschiedenen Herstellern eine grundlegende Überarbeitung ihres Sicherheits-Konzeptes. Dabei ging man noch nicht einmal sonderlich invasiv vor. Geprüft wurde, wie leicht es ist, an die Daten zu kommen, ohne integrierte Sperren zu knacken oder sonstige Brecheisen anzusetzen.
So mancher Nutzer wird sich vermutlich denken, dass die Armbänder eigentlich keine Daten erheben, die für Unbefugte relevant wären. Allerdings gibt es in der Praxis durchaus Missbrauchs-Potenzial. So sind in den USA erste Krankenversicherungen dazu übergegangen, bessere Tarife anzubieten, wenn die erfassten Daten gut aussehen - was einen Anreiz für eine neue Form von Identitäts-Diebstahl bietet. Aber auch Manipulationen können gefährlich sein - etwa wenn ein Nutzer mit Kreislauf-Problemen aufgrund der gelieferten Informationen einschätzen will, welche Belastung für ihn unbedenklich ist.
Als leichteste Angriffsmethode zeigte sich bei einigen Modellen schlicht die Möglichkeit, das Pairing per Bluetooth auf ein fremdes Smartphone umzulenken. Es zeigte sich, dass sich die Bluetooth-Verbindung nur bei den Produkten Garmin Vivosmart und LG Lifeband Touch Bluetooth manuell deaktivieren lässt. Die Geräte von Sony, Polar und Withings sind nach dem ursprünglichen Pairing zumindest nicht mehr für andere Geräte sichtbar und das Huawei-Band deaktiviert Bluetooth, wenn es für längere Zeit die Verbindung zu "seinem" Smartphone verliert. Auch das Jawbone-Band ist nach dem Herstellen einer Verbindung erst einmal unsichtbar - verliert es allerdings den Kontakt zum Smartphone, beginnt es nach einem neuen Partner zu suchen.
Andere Produkte blieben zum Teil durchgängig für andere sichtbar - es wird allerdings eine Bestätigung erforderlich, um die Verbindung tatsächlich herzustellen. Das Sony Smartband SWR30 verbindet sich sogar automatisch via NFC, wenn das Partner-System vermeintlich bekannt ist. Ein weiterer Hersteller, der vorsorglich nicht namentlich genannt und informiert wurde, verlangt zwar die Eingabe einer PIN, die dem Angreifer aber faktisch auf dem Silbertablett präsentiert wird.
Besonders staunten die Tester beim FitBit Charge. Dieses verbindet sich einfach ohne weitere Nachfragen mit jedem beliebigen Bluetooth-Gerät und übergibt diesem dann alle erfassten Daten. Da die zugehörige App auf aktuellen HTC-Smartphones bereits vorinstalliert ist, werden insbesondere deren Nutzer regelrecht eingeladen, dieses Armband dazuzukaufen.
Ein weiterer Schwachpunkt zeigte sich teilweise bei der Datenübertragung selbst. Mehrere Produkte sorgen zumindest mehr oder weniger gut dafür, dass die Daten des Armbands auch nur von einer passenden App gelesen werden können. Hier ist einiger Aufwand nötig, um in die Verbindung einzudringen. Besonders schwach präsentierte sich hier hingegen das Acer Liquid Leap. Bei diesem genügte es, einige Teile der App in eine selbst geschrieben Anwendung einzubauen, um das Gerät dazu zu bringen, brav alle Daten abzuliefern. Das baugleiche Armband wird auch von anderen Anbietern vertrieben, wobei unklar ist, ob bei diesen die Software besser umgestaltet wurde.
Das Fazit der Tester lautete letztlich, dass die Produkte Sony Smartband Talk SWR30 und die Polar Loop die solidesten Sicherheitskonzepte mitbringen - auch wenn kleinere Verbesserungen sinnvoll wären. Die höchste Wahrscheinlichkeit, dass auch rudimentäre Angriffe erfolgreich sind, zeigte sich hingegen beim Acer-Modell.
Infografik: AV-Test: Sicherheit von Fitness-Armbändern
Das Unternehmen AV-Test hat eine Reihe von gängigen Modellen einem entsprechenden Test unterzogen und empfiehlt verschiedenen Herstellern eine grundlegende Überarbeitung ihres Sicherheits-Konzeptes. Dabei ging man noch nicht einmal sonderlich invasiv vor. Geprüft wurde, wie leicht es ist, an die Daten zu kommen, ohne integrierte Sperren zu knacken oder sonstige Brecheisen anzusetzen.
So mancher Nutzer wird sich vermutlich denken, dass die Armbänder eigentlich keine Daten erheben, die für Unbefugte relevant wären. Allerdings gibt es in der Praxis durchaus Missbrauchs-Potenzial. So sind in den USA erste Krankenversicherungen dazu übergegangen, bessere Tarife anzubieten, wenn die erfassten Daten gut aussehen - was einen Anreiz für eine neue Form von Identitäts-Diebstahl bietet. Aber auch Manipulationen können gefährlich sein - etwa wenn ein Nutzer mit Kreislauf-Problemen aufgrund der gelieferten Informationen einschätzen will, welche Belastung für ihn unbedenklich ist.
Als leichteste Angriffsmethode zeigte sich bei einigen Modellen schlicht die Möglichkeit, das Pairing per Bluetooth auf ein fremdes Smartphone umzulenken. Es zeigte sich, dass sich die Bluetooth-Verbindung nur bei den Produkten Garmin Vivosmart und LG Lifeband Touch Bluetooth manuell deaktivieren lässt. Die Geräte von Sony, Polar und Withings sind nach dem ursprünglichen Pairing zumindest nicht mehr für andere Geräte sichtbar und das Huawei-Band deaktiviert Bluetooth, wenn es für längere Zeit die Verbindung zu "seinem" Smartphone verliert. Auch das Jawbone-Band ist nach dem Herstellen einer Verbindung erst einmal unsichtbar - verliert es allerdings den Kontakt zum Smartphone, beginnt es nach einem neuen Partner zu suchen.
Andere Produkte blieben zum Teil durchgängig für andere sichtbar - es wird allerdings eine Bestätigung erforderlich, um die Verbindung tatsächlich herzustellen. Das Sony Smartband SWR30 verbindet sich sogar automatisch via NFC, wenn das Partner-System vermeintlich bekannt ist. Ein weiterer Hersteller, der vorsorglich nicht namentlich genannt und informiert wurde, verlangt zwar die Eingabe einer PIN, die dem Angreifer aber faktisch auf dem Silbertablett präsentiert wird.
Besonders staunten die Tester beim FitBit Charge. Dieses verbindet sich einfach ohne weitere Nachfragen mit jedem beliebigen Bluetooth-Gerät und übergibt diesem dann alle erfassten Daten. Da die zugehörige App auf aktuellen HTC-Smartphones bereits vorinstalliert ist, werden insbesondere deren Nutzer regelrecht eingeladen, dieses Armband dazuzukaufen.
Ein weiterer Schwachpunkt zeigte sich teilweise bei der Datenübertragung selbst. Mehrere Produkte sorgen zumindest mehr oder weniger gut dafür, dass die Daten des Armbands auch nur von einer passenden App gelesen werden können. Hier ist einiger Aufwand nötig, um in die Verbindung einzudringen. Besonders schwach präsentierte sich hier hingegen das Acer Liquid Leap. Bei diesem genügte es, einige Teile der App in eine selbst geschrieben Anwendung einzubauen, um das Gerät dazu zu bringen, brav alle Daten abzuliefern. Das baugleiche Armband wird auch von anderen Anbietern vertrieben, wobei unklar ist, ob bei diesen die Software besser umgestaltet wurde.
Das Fazit der Tester lautete letztlich, dass die Produkte Sony Smartband Talk SWR30 und die Polar Loop die solidesten Sicherheitskonzepte mitbringen - auch wenn kleinere Verbesserungen sinnvoll wären. Die höchste Wahrscheinlichkeit, dass auch rudimentäre Angriffe erfolgreich sind, zeigte sich hingegen beim Acer-Modell.
Thema:
Apple Watch Series 9 im Preisvergleich
Price-guard 520,90 € 1 Angebote im WinFuture Preisvergleich
Videos zum Thema Wearables
-
Xgimi MemoMind One: Neue AR-Brille mit klarem Bild und ohne Kamera
-
Super Bowl 2026: Oakley Meta-Brillen halten epische Sportmomente fest
-
Viture Luma Cyber: XR-Brille im limitierten Cyberpunk-Design im Test
-
Rokid Max 2: Leichte AR-Brille ohne eigenen Akku im Test
-
Anker: Neue Powerbank und 3-in-1-Wireless-Ladestation im Test
Beiträge aus dem Forum
Weiterführende Links
Neue Nachrichten
- Ganz ohne Prime-Abo: Media Markt und Saturn starten Mega-Sale
- Chinas geheimes Raumflugzeug setzt mysteriöses Objekt im Orbit frei
- Microsoft baut größtes KI-Rechenzentrum, mit Gaskraftwerk von Chevron
- EU-Automarkt: Elektrifizierung nimmt zu, Verbrenner deutlich im Minus
- Amazon Prime Day: Die Tages- und Blitzangebote im Vergleich
- SpaceX testet Starfall: Neue Kapsel soll Frachtflüge im All ermöglichen
- Prime Day: Tolle Lefant Saugroboter-Deals ab sofort bei Amazon
Videos
Neueste Downloads
Beliebte Nachrichten
Christian Kahle
Redakteur bei WinFuture
Ich empfehle ...
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen