Aktuelle Nachrichten
20. April 2016 | Internet of Things
Nachgehakt: FitBit reagierte geschockt auf Security-Check von AV-TEST und sichert sein Fitness-Armband nun ab.
In den Laboren von AV-TEST wurden vor einigen Monaten 9 Fitness-Armbänder und deren Sicherheitskonzept untersucht. Eine der schlechtesten Wertungen erhielt das Armband FitBit Charge. Es verband sich ohne zu zögern mit jedem willigen Smartphone und gab seine Daten preis. Nach einer intensiven Zusammenarbeit mit AV-TEST präsentiert FitBit seine Produkte nun mit aktualisiertem Sicherheitskonzept.
Nachgetestet
Das Fitness-Armband Charge von FitBit arbeitet mit einer komplett überholten Firmware nun wesentlich sicherer.
Als die Verantwortlichen bei FitBit vor ein paar Monaten die Auswertung des Sicherheitstests bei Fitnessarmbänder gelesen hatten, schrillten intern die Alarmglocken. Schließlich belegte der Test, dass sich jedes FitBit-Armband der Modellreihe Charge ohne weitere Nachfrage mit jedem willigen Smartphone paarte. War dies passiert, lieferte das Armband ohne weiteres alle seine erfassten Fitness-Daten aus.
Die Fitness-Tracker werden im Test via Bluetooth mit dem Smartphone gepaart. Neben der Hersteller-App wurde getestet, ob auch eine selbstgebaute App die Daten abfangen kann.
Test-Rückblick
Im vergangenen Test von 9 Fitness-Armbändern wurden deren Sicherheitskonzepte auf den Prüfstand gestellt. Es wurde gecheckt, ob sich die Fitness-Tracker manipulieren lassen. Dazu wurden die Tracker und die passenden Apps untersucht und deren Kommunikation belauscht. Im Test wurden aber keine Sperren geknackt!
Das Ergebnis war vielfältig: Während etwa das FitBit-Produkt in der Risikobewertung 7 von 9 Risikopunkten bekam (je mehr, umso höher das Risiko), hatte zum Beispiel das Smartband Talk von Sony nur einen Risikopunkt.
FitBit: ab sofort richtig sicher
Der vorliegende Report AV-TEST Analysis of Fitbit Vulnerabilities lieferte die Basis zur Zusammenarbeit von AV-TEST und dem Security-Team von FitBit. Die Analyse beschreibt fachmännisch genau die zwei Schwachstellen des Sicherheitskonzeptes von FitBit. Zusammengefasst lassen sich die Schwachstellen so beschreiben:
1. Jedes Smartphone mit einer passenden App – etwa der FitBit-App – in der Nähe eines FitBit-Trackers konnte sich mit diesem verbinden. Über diese Verbindung ließen sich alle im Fitness-Tracker gespeicherten Daten auslesen und so ein Profil ableiten.
2. Jedes verbundene Smartphone konnte mit Hilfe einer App manipulierte Daten auf den Fitness-Tracker senden oder auch die Alarme verändern. Der Anwender verlor die Herrschaft über seine Fitnessdaten.
Das Sicherheitsteam von FitBit nahm nach dem Test Kontakt mit AV-TEST auf und beschloss, sein Sicherheitskonzept komplett zu überarbeiten. Zwischendurch und zum Abschluss wurde das FitBit-Produkt mit neuester Firmware noch einmal komplett getestet. Dieses Mal waren die Tester sehr zufrieden. Inzwischen hat FitBit die neue Firmware 110 auf alle Geräte im Markt ausgerollt und so auch ältere Geräte nachträglich abgesichert.