Wearables, mit denen ihre Träger die eigenen Körperwerte messen, halten nicht nur Informationen für die Anwender bereit. Auch Hacker oder Unternehmen könnten die private Daten auslesen, so die Ergebnisse zweier IT-Sicherheitsanbieter, die die Geräte unabhängig voneinander getestet haben.
Die Vermessung des eigenen Körpers ist in. Mit Smartwatches, elektronischen Fitnessarmbändern oder Apps für das Smartphone erfassen Nutzer ihren Puls, den Kalorienverbrauch beim Training oder ihre Schlafgewohnheiten.
Allein in Deutschland wurden in der ersten Jahreshälfte 2014 bereits sechs Millionen Smartwatches und Fitnessarmbänder verkauft, so eine Studie des Analystenhauses Canalys. Das entspricht einem Wachstum von knapp 700 Prozent innerhalb eines einzigen Jahres. ABI Research prognostiziert, dass bis 2018 rund 485 Millionen Menschen weltweit so genannte Wearables tragen werden.
Doch die smarten Trainingshelfer liefern nicht nur ihren Anwendern Daten, mit denen diese die eigenen Leistungsfähigkeit besser kennenlernen. Sie können auch Unbefugten Einblicke in die intimen Informationen geben.
So hat der IT-Sicherheitsspezialist Symantec kürzlich eine Reihe von Fitness-Armbändern und Apps getestet. Das Ergebnis: Fast alle getesteten Apps und Fitnessarmbänder haben Sicherheitslücken. Eine von fünf Apps überträgt Benutzerinformationen sogar ohne jegliche Verschlüsselung.
Die Hersteller selbst nutzen diese persönlichen Daten oftmals zu Marketingzwecken. Sie geben zum Beispiel Aufschluss über den Wohnort, das Alter, das Geschlecht, das Gewicht oder die Größe des Nutzers.
Zudem können die Informationen in die Hände Dritter mit kriminellen Absichten gelangen. „Es mag auf den ersten Blick harmlos erscheinen, wenn ein Hacker die Anzahl der am Tag gelaufenen Schritte ausspäht“, sagt Candid Wüest, Sicherheitsexperte und Virenjäger bei Symantec. Durch das Auslesen der auf der Sportuhr oder dem Fitnessarmband gespeicherten Informationen könnten jedoch potenziell weitaus kritischere Daten missbraucht werden. Frühere Fälle hätten gezeigt, dass mit solchen Informationen beispielsweise festgestellt werden kann, ob ein Nutzer zuhause ist – oder ob ein Einbrecher in eine Wohnung gefahrlos eindringen kann. „Erschreckend ist außerdem, dass gut die Hälfte der getesteten Apps über keinerlei Datenschutzerklärung verfügt“, so Wüest.
Daten werden nicht verschlüsselt
Der Test hat verschiedene Sicherheitslücken aufgedeckt. Am bedenklichsten ist dabei laut Symantec die unverschlüsselte Übertragung von Daten. Auch wenn die eigene Herzfrequenz oder der Kalorienverbrauch für Dritte uninteressant erscheinen mag – die Nichtverschlüsselung ist nach Meinung der Sicherheitsexperten insgesamt kritisch. Denn zu den Informationen gehören auch der Name und das Passwort.
Für fragwürdig halten es die Symantec-Leute außerdem, dass diese Informationen an mehrere Empfänger gesendet wurden. Das Negativ-Beispiel war eine App, die die Daten an 14 verschiedene Empfänger sendete. Das bedeutet, dass die Daten an 14 verschiedenen Orte von Hackern abgezapft werden können.
Symantec hat einige Sicherheitsmaßnahmen aufgelistet, mit denen sich Nutzer schützen können:
- Für alle Anwendungen und Konten sollten unterschiedliche Benutzernamen und Passwörter verwendet werden
- Anwender sollten die Bluetooth-Funktion ausschalten, wenn sie diese nicht benötigen.
- Nutzer sollten mit gesundem Menschenverstand darauf achten, welche Informationen sie über soziale Netzwerke mit Dritten teilen. Muss wirklich jeder ihre Joggingstrecke oder ihren Body-Mass-Index kennen?
- Dienste, Apps und Services, die nicht über eine Datenschutzerklärung verfügen, sollten nicht genutzt werden.
- Anwender sollten sicher stellen, dass sie immer die neueste Version einer App oder eines Services nutzen.
- Nutzer sollten eine Verschlüsselungslösung installieren, wenn dies möglich ist.
Bedrohung weitet sich aus
Juan Andres Guerrero, Sicherheitsexperte beim Security-Software-Anbieter Kaspersky, sieht in der Entwicklung eine schleichende Gefahr. Er glaubt, dass die Qualität der Informationen, die mit Wearables gesammelt werden, in Zukunft neue Player in die Cyberspionage-Szene locken dürfte.
Dann könnte es nicht nur um die Bedrohung der Privatsphäre einzelner Nutzer gehen. Die persönlichen Informationen von Mitarbeitern werden häufig für so genannte Advanced Persistent Threats (APT) verwendet. Dabei handelt es sich um strategisch durchgeführte Online-Angriffe auf kritische Infrastrukturen beziehungsweise Unternehmen.
„Zwar gibt es derzeit noch keine Hinweise, dass Wearables bereits für professionelle APTs genutzt werden“, meint Guerrero. Das könnte sich jedoch ändern, sobald die neuen Geräte von der breiten Masse der Verbraucher angenommen werden.
Kaspersky hat ebenfalls Sicherheitslücken in den tragbaren Mini-Computern entdeckt – zum Beispiel in der Smartwatch Galaxy Gear 2 von Samsung. So können etwa bestimmte Apps mit dem Gear Manager von Samsung vom Smartphone auf die Uhr übertragen werden. Wie Guerrero feststellte, werden diese im Betriebssystem installiert, ohne den Träger explizit darauf hinzuweisen. Der Nutzer könnte sich auf diese Weise also auch Software einfangen, die seine Daten ausliest.
Heimliche Fotos
Der Weg der Bedrohung kann aber auch in umgekehrter Richtung zurückgelegt werden. Mit Wearables ist es Anwendern möglich, selbst zum Datenspion zu werden.
Mit der Galaxy Gear 2 kann ihr Träger laut Guerrero unbemerkt Fotos von seiner Umgebung machen. Die Smartwatch ist zwar standardmäßig so eingestellt, dass ein Warnton zu hören ist, wenn der Auslöser betätigt wird. Dieser ist laut genug, um die Umgebung auf die geheime Kamera aufmerksam zu machen.
Ein genauerer Blick auf die Software hat Guerrero allerdings gezeigt, dass dieser Ton umgangen werden kann. Nach einem erneuten Rooting und unter Verwendung der Samsung-eigenen, aber öffentlich zugänglichen Software Odin kann eine Galaxy Gear 2 ihre Fotos auch geräuschlos schießen und so unbemerkt in die Privatsphäre von anderen eindringen. ■
Teilen:
