Â
Moskau/lngolstadt, 26. März 2015 - Der Kaspersky-Experte Roman Unucheck
hat die Sicherheit aktueller Fitnessarmbänder und deren Interaktion mit
Smartphones untersucht [1]. Dabei zeigte sich: Die Geräte sind einfach
zu manipulieren und erlauben Dritten Zugriff auf die Daten der Träger.
Vor allem bei kommenden Wearable-Geräten mit erweitertem Funktionsumfang
sollten IT-Sicherheitsaspekte mit in Betracht gezogen werden - gerade
wenn zunehmend sensitive medizinische Daten im Spiel sind.
Â
Am Körper getragene Mini-Computer halten zunehmend Einzug in unseren
Alltag. Laut einer aktuellen Umfrage von PricewaterhouseCoopers (PwC)
[2] besitzen bereits 17 Prozent der Deutschen ein Wearable-Gerät.
Potenzielle Nutzer interessieren sich vor allem für Fitnessarmbänder und
Smartwatches.
Â
Nachdem Kaspersky Lab bereits im vergangenen Jahr auf Schwachstellen bei
intelligenten Uhren und Brillen hingewiesen hat [3], illustriert die
aktuelle Proof-of-Concept-Studie von Kaspersky Lab, wie persönliche
Informationen, beispielsweise Schrittzählungen oder Informationen zu
Schlafphasen, in falsche Hände gelangen können. So ermöglicht die
Authentifizierungsmethodik zahlreicher beliebter intelligenter
Armbänder, dass Fremde sich unbemerkt vom Nutzer mit dem Gerät
verbinden, dort Kommandos ausführen und in einigen Fällen sogar auf dem
Gerät gespeicherte Daten entwenden können.
Â
Einfache Verbindung zwischen Armband und Smartphone - auch für
Cyberkriminelle
Â
Grundsätzlich wird der unerwünschte Zugriff auf Fitness-Tracker über
deren Verbindung zu Smartphones ermöglicht. Die Kaspersky-Analyse zeigt:
Ãœber eine spezielle nicht autorisierte App auf einem Smartphone mit dem
Betriebssystem Android 4.3 oder höher kann eine Verknüpfung mit
intelligenten Armbändern verschiedener Hersteller hergestellt werden.
Einzige Voraussetzung: Der Nutzer des Fitnessarmbands muss die
Verbindung per Knopfdruck bestätigen. Dies geschieht zum Beispiel über
ein Vibrationssignal. Da der Nutzer nicht unterscheiden kann, ob es sich
um eine Pairing-Anfrage zum eigenen Smartphone oder zu einem fremden
Gerät handelt, stellt dies für Cyberkriminelle keine allzu große Hürde dar.
Â
„Eine exakte Durchführung dieser Machbarkeitsstudie hängt von
zahlreichen Voraussetzungen ab. Zudem sind Angreifer noch nicht in der
Lage, wirklich kritische Daten wie Passwörter oder Kreditkartennummern
zu stehlen. Dennoch wird deutlich: Es gibt Wege für Angreifer, um von
den Geräteentwicklern ungepatchte Schwachstellen auszunutzen", so Roman
Unucheck, Senior Malware Analyst bei Kaspersky Lab. „Die aktuellen
Fitness-Tracker sind noch nicht allzu ausgereift: Sie können Schritte
zählen und Informationen über Schlafphasen erheben, aber kaum mehr als
das. Die kommende Generation dieser Geräteklasse steht jedoch schon in
den Startlöchern und wird mehr Nutzerdaten sammeln können als zuvor.
Daher sollte man sich schon jetzt Gedanken um die Sicherheit dieser
Geräte machen - und wie die Interaktion zwischen einem Tracker und einem
Smartphone angemessen geschützt werden kann."
Â
Kaspersky Lab empfiehlt Nutzern von smarten Armbändern, die sich um die
eigene Sicherheit sorgen, mit dem jeweiligen Hersteller Kontakt
aufzunehmen und zu klären, ob die Produkte von den beschriebenen
Angriffswegen betroffen sind.
Â
Der Beitrag „Wie ich mein Fitness-Armband hackte" von Roman Unuchek ist
in deutscher Sprache unter
http://www.viruslist.com/de/weblog?weblogid=207320065 abrufbar.
Â
Â
[1] http://www.viruslist.com/de/weblog?weblogid=207320065
[2]
http://www.pwc.de/de/pressemitteilungen/2015/wearables-kurz-vor-dem-durchbruch.jhtml
Â
[3]
Â
Â
Â
Es wurden leider keine passenden Einträge gefunden