Video: Fitness Tracker - GEICO Insurance (November 2024)
Wanneer je 10.000 stappen haalt of een ander fitness-trackerdoel bereikt, wil je je prestaties delen met vrienden, toch? Afhankelijk van het apparaat dat u gebruikt, deelt u mogelijk ook uw privégegevens met de wereld of met iedereen in de buurt. Onderzoekers van AV-Test Institute analyseerden de beveiliging van negen populaire fitnesstrackers en sommige van hun bevindingen waren niet mooi.
Kortom, Fitbit Charge en Acer Liquid Leap beveiligen hun Bluetooth-verbindingen helemaal niet. Dat betekent dat uw gegevens kunnen worden geveegd. Jawbone Up24 en Sony Smartband Talk SWR30 hebben het beste gedaan om de gegevens van gebruikers te beschermen.
Natuurlijk werd slechts één item in de productlijn van elk bedrijf getest, maar voorzichtigheid vereist dat de bevindingen over de hele linie van toepassing zijn. Het feit dat je een Fitbit Surge hebt en geen Fitbit Charge, betekent niet dat je veilig bent.
Wie kan het wat schelen?
Maar wacht, zeg maar, het kan me niet schelen wie mijn gegevens ziet; Ik ben trots op mijn conditie! Het rapport geeft nogal wat redenen aan waarom deze houding naïef kan zijn. Sommige zorgverzekeraars bieden bijvoorbeeld lagere tarieven aan klanten die hun conditie bewijzen met behulp van een tracker. Een gewetenloze gebruiker kan de gegevens van een geschiktere buurman kapen om de lagere snelheid te krijgen, of de gegevens stelen en bewaren voor losgeld.
Als de gegevens van het apparaat niet beveiligd zijn, kunnen deze van buitenaf worden aangepast. "Het zal niet lang duren voordat kinderen grappen uithalen op de jogging-yuppie door zijn bloeddruk- en polsgegevens met een paar inkepingen te verhogen", merkt het rapport op, "waardoor hypochonderen zich nog meer zorgen maken." Het rapport beschrijft inderdaad hoe gemakkelijk de onderzoekers erin slaagden een bepaald apparaat over te nemen.
Bluetooth-promiscuïteit
Alle geteste trackers gebruiken Bluetooth om verbinding te maken met een Android-app. Bij een juiste implementatie kan Bluetooth-koppeling behoorlijk veilig zijn. Sony Smartband Talk SWR30, Polar Loop en Withings Pulse Ox worden onzichtbaar voor andere apparaten zodra ze met uw telefoon zijn gekoppeld. Garmin Vivosmart en Huawei TalkBand B1 vereisen authenticatie voor het koppelen. Jawbone Up24 en LG Lifeband Touch FB84 gaan verder en vereisen fysieke toegang tot het apparaat om te koppelen.
De resterende twee, Acer Liquid Leap en Fitbit Charge, beveiligen de BlueTooth-verbinding helemaal niet. Vooral de Fitbit Charge wordt gekoppeld met elk Bluetooth-apparaat dat binnen bereik is en de platte tekstgegevens zijn helemaal niet beveiligd. De Jawbone- en Huawei-producten zijn niet zo wijd open, maar ze zullen met meer dan één apparaat worden gekoppeld. Wat betreft de Acer Liquid Leap, deze lijkt authenticatie te vereisen met behulp van een pincode, maar de code is statisch afgeleid van de openbare naam van het apparaat.
De app beveiligen
Android-programma's verschillen van de gecompileerde uitvoerbare programma's die onder Windows worden uitgevoerd. Iedereen kan een Android-programma terug decompileren naar de broncode met behulp van direct beschikbare hulpmiddelen. Een hacker kan die broncode gebruiken om te bepalen hoe een fitness-app communiceert met de bijbehorende tracker en een vervalste app schrijven om die communicatie over te nemen.
Slimme Android-programmeurs gebruiken tools en technieken om programmacode te verdoezelen, waardoor reverse-engineering moeilijk wordt. Ze schakelen ook logboekfuncties uit die handig zijn tijdens het maken van programma's, maar die interne app-details weggeven. En natuurlijk compileren ze de definitieve versie met debugging uitgeschakeld.
Slechts twee van de geteste producten, Jawbone Up24 en Sony Smartband Talk SWR30, gebruikten al deze drie technieken. Huawei en Withings hebben debugcode vrijgegeven met logboekregistratie ingeschakeld en hebben slechts beperkte obfuscatie toegepast. Acer en LG Lifeband hebben geen poging gedaan om reverse-engineering te omzeilen.
De onderzoekers van AV-Test creëerden eenvoudig een nep-app die gegevens van het Acer-apparaat kon zuigen. Ze slaagden er zelfs in om de interne gegevens van het apparaat te wijzigen, zodat "de training van de dag in slechts enkele seconden was voltooid, zonder zweet te breken."
Slecht nieuws, goed nieuws
Als je je telefoon hebt geroot, ben je veel kwetsbaarder voor allerlei soorten hacking, inclusief het hacken van fitness-trackers. Het goede nieuws is dat alle geteste apparaten hun gegevens correct opslaan in beveiligd geheugen. Het slechte nieuws is dat als je je telefoon hebt geroot, dat geheugen niet langer wordt beschermd.
Meer goed nieuws: alle geteste apps hebben hun gegevens correct beschermd tijdens het transport naar de cloud. Ze versleutelden de gegevens en verstuurden deze met
- De beste fitnesstrackers voor 2019 De beste fitnesstrackers voor 2019
- Jawbone UP24 Jawbone UP24
- Withings Pulse O2 Withings Pulse O2
- Sony SmartBand SWR10 Sony SmartBand SWR10
Winnaars en verliezers
Het volledige rapport gaat gedetailleerd in op precies wat de onderzoekers hebben geleerd en het laat zien dat de beschikbare beveiliging in dit productgebied sterk varieert. Een handige grafiek identificeert 11 belangrijke punten voor de beveiliging van de fitnesstracker. Bovenaan miste de Sony Smartband Talk SWR30 er maar één - je kunt Bluetooth niet deactiveren vanuit de tracker. Polar Loop miste datzelfde punt en deed ook niet alles wat mogelijk was tegen reverse-engineering, maar dat is nog steeds redelijk goed.
Aan de andere kant van het spectrum miste Acer Liquid Leap negen van de 11 punten. Het kreeg krediet voor het bewaren van gegevens in beschermd geheugen en gedeeltelijk krediet voor het beveiligen van interne communicatie; dat is alles. Fitbit Charge miste acht beveiligingselementen, waaronder alle elementen die verband hielden met het beschermen van Bluetooth-communicatie.
Het team van AV-Test bracht alle leveranciers formeel op de hoogte van hun bevindingen. Ze plannen verder onderzoek zodra de leveranciers tijd hebben gehad om hun beveiligingsspel te intensiveren.
