Unsicheres Fitnessarmband - Kaspersky-Experte zeigt Sicherheitsschwachstellen von Wearables

 

Moskau/lngolstadt, 26. März 2015 - Der Kaspersky-Experte Roman Unucheck

hat die Sicherheit aktueller Fitnessarmbänder und deren Interaktion mit

Smartphones untersucht [1]. Dabei zeigte sich: Die Geräte sind einfach

zu manipulieren und erlauben Dritten Zugriff auf die Daten der Träger.

Vor allem bei kommenden Wearable-Geräten mit erweitertem Funktionsumfang

sollten IT-Sicherheitsaspekte mit in Betracht gezogen werden - gerade

wenn zunehmend sensitive medizinische Daten im Spiel sind.

 

Am Körper getragene Mini-Computer halten zunehmend Einzug in unseren

Alltag. Laut einer aktuellen Umfrage von PricewaterhouseCoopers (PwC)

[2] besitzen bereits 17 Prozent der Deutschen ein Wearable-Gerät.

Potenzielle Nutzer interessieren sich vor allem für Fitnessarmbänder und

Smartwatches.

 

Nachdem Kaspersky Lab bereits im vergangenen Jahr auf Schwachstellen bei

intelligenten Uhren und Brillen hingewiesen hat [3], illustriert die

aktuelle Proof-of-Concept-Studie von Kaspersky Lab, wie persönliche

Informationen, beispielsweise Schrittzählungen oder Informationen zu

Schlafphasen, in falsche Hände gelangen können. So ermöglicht die

Authentifizierungsmethodik zahlreicher beliebter intelligenter

Armbänder, dass Fremde sich unbemerkt vom Nutzer mit dem Gerät

verbinden, dort Kommandos ausführen und in einigen Fällen sogar auf dem

Gerät gespeicherte Daten entwenden können.

 

Einfache Verbindung zwischen Armband und Smartphone - auch für

Cyberkriminelle

 

Grundsätzlich wird der unerwünschte Zugriff auf Fitness-Tracker über

deren Verbindung zu Smartphones ermöglicht. Die Kaspersky-Analyse zeigt:

Ãœber eine spezielle nicht autorisierte App auf einem Smartphone mit dem

Betriebssystem Android 4.3 oder höher kann eine Verknüpfung mit

intelligenten Armbändern verschiedener Hersteller hergestellt werden.

Einzige Voraussetzung: Der Nutzer des Fitnessarmbands muss die

Verbindung per Knopfdruck bestätigen. Dies geschieht zum Beispiel über

ein Vibrationssignal. Da der Nutzer nicht unterscheiden kann, ob es sich

um eine Pairing-Anfrage zum eigenen Smartphone oder zu einem fremden

Gerät handelt, stellt dies für Cyberkriminelle keine allzu große Hürde dar.

 

„Eine exakte Durchführung dieser Machbarkeitsstudie hängt von

zahlreichen Voraussetzungen ab. Zudem sind Angreifer noch nicht in der

Lage, wirklich kritische Daten wie Passwörter oder Kreditkartennummern

zu stehlen. Dennoch wird deutlich: Es gibt Wege für Angreifer, um von

den Geräteentwicklern ungepatchte Schwachstellen auszunutzen", so Roman

Unucheck, Senior Malware Analyst bei Kaspersky Lab. „Die aktuellen

Fitness-Tracker sind noch nicht allzu ausgereift: Sie können Schritte

zählen und Informationen über Schlafphasen erheben, aber kaum mehr als

das. Die kommende Generation dieser Geräteklasse steht jedoch schon in

den Startlöchern und wird mehr Nutzerdaten sammeln können als zuvor.

Daher sollte man sich schon jetzt Gedanken um die Sicherheit dieser

Geräte machen - und wie die Interaktion zwischen einem Tracker und einem

Smartphone angemessen geschützt werden kann."

 

Kaspersky Lab empfiehlt Nutzern von smarten Armbändern, die sich um die

eigene  Sicherheit sorgen, mit dem jeweiligen Hersteller Kontakt

aufzunehmen und zu klären, ob die Produkte von den beschriebenen

Angriffswegen betroffen sind.

 

Der Beitrag „Wie ich mein Fitness-Armband hackte" von Roman Unuchek ist

in deutscher Sprache unter

http://www.viruslist.com/de/weblog?weblogid=207320065 abrufbar.

 

 

[1] http://www.viruslist.com/de/weblog?weblogid=207320065

[2]

http://www.pwc.de/de/pressemitteilungen/2015/wearables-kurz-vor-dem-durchbruch.jhtml

 

[3]

http://newsroom.kaspersky.eu/de/texte/detail/article/cybergefahr-am-handgelenk-und-auf-der-nase-kaspersky-lab-warnt-vor-sicherheitsrisiken-bei-wearables/

 

 

Quelle

 

Tags:
Fitnessarmband, Smartwatch, Wearables
Datum:
Donnerstag, 26. März 2015, 12:07 Uhr

Kommentar abgeben

» Besondere Hinweise für Spammer

Die E-Mailadresse in den Angaben benötigen wir zur Anzeige Ihres persönlichens Gravatars. Sollten Sie bisher noch keinen Gravatar nutzen, können Sie sich kostenlos auf Gravatar.com für die Nutzung registrieren.

Relevante Artikel

Es wurden leider keine passenden Einträge gefunden

Relevante Tags