Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Security > Sicherheitsforscher warnen vor Manipulation von Fitnessdaten

Unsichere Tracker

Sicherheitsforscher warnen vor Manipulation von Fitnessdaten

13. September 2016, 8:16 Uhr | Daniel Dubsky
© Kaspars Grinvalds - Fotolia

Bevor Versicherungen und andere Unternehmen die Daten von Fitnesstrackern nutzen, sei es notwendig, deren Integrität sicherzustellen, warnen Sicherheitsexperten der TU Darmstadt. Derzeit könnten die Daten noch allzu leicht manipuliert werden.

Die Sicherheit von Fitnesstrackern wurde schon häufiger bemängelt, meist ging es dabei jedoch um den Diebstahl von Daten. Einen anderen Aspekt beleuchtet nun die TU Darmstadt, die zusammen mit der Universität Padua in Italien, geprüft hat, wie sich die aufgezeichneten Gesundheitsdaten manipulieren lassen. In Zeiten, in denen Krankenkassen darüber nachdenken, ihren Kunden Rabatte einzuräumen, wenn sie sich regelmäßig bewegen, ist das ein nicht uninteressanter Aspekt. Zudem seien in den USA bereits 2014 die Daten von Fitnesstrackern als Beweismittel vor Gericht zugelassen worden – so etwas locke natürlich Betrüger an, warnt Ahmad-Reza Sadeghi, Professor für Systemsicherheit am Cysec der TU Darmstadt.

Insgesamt untersuchten die Experten 17 verschiedene Tracker, darunter auch von bekannten Herstellern wie Garmin, Jawbone und Xiaomi, und versuchten, sich via Man in the Middle-Angriff in die Verbindung zum Server einzuklinken. Zwar nutzten alle Geräte, die Daten an Cloud-Dienste übermitteln, eine verschlüsselte Übertragung mit HTTPS. Trotzdem gelang es den Forschern in allen Fällen, die Daten zu manipulieren. Insgesamt hätten nur vier Hersteller überhaupt Maßnahmen genutzt, um die Integrität der Daten sicherzustellen, bemängeln die Forscher. Und selbst diese seien leicht zu überwinden gewesen. »Diese Hürden können einen motivierten Angreifer nicht aufhalten. Schon mit wenigen Vorkenntnissen wäre es Betrügern möglich, die Daten zu verfälschen«, berichtet Sadeghi.

Lediglich bei fünf Geräten werden die Daten nicht mit einem Online-Dienst synchronisiert. Da sie aber im Klartext gespeichert werden, seien auch hier Manipulationen einfach, so die Forscher. »Alle Versicherungen und auch andere Dienstleister, die Fitnesstracker einsetzen wollen, sollten sich vorher mit Sicherheitsexperten beraten«, empfiehlt Sadeghi. Alle Sicherheitsmängel seien mit Standardtechnologien zu beheben, »die Hersteller müssten sich nur etwas mehr Mühe geben«.

Jetzt kostenfreie Newsletter bestellen!

Matchmaker+
Securepoint GmbH

Securepoint GmbH
Rittal GmbH & Co. KG

Rittal GmbH & Co. KG
easybell GmbH

easybell GmbH
Plusnet GmbH

Plusnet GmbH
sysob IT-Distribution GmbH & Co. KG

sysob IT-Distribution GmbH & Co. KG
WatchGuard Technologies

WatchGuard Technologies