In den letzten Jahren ist eine stetig wachsende soziale Vernetzung und ein boomender Fitnesstrend zu verzeichnen - Die Menschen protokollieren und analysieren nahezu jeden Bereich ihres Lebens, teilen die Daten über soziale Netzwerke und stellen sich digital einem Wettstreit mit Freunden und Bekannten. Es ist daher nicht verwunderlich, dass sich sogenannte Fitnesstracker einer immer größeren Beliebtheit erfreuen. Diese Geräte, meist in Armband- oder Clipform, erfassen heutzutage typischerweise Daten wie gelaufene Schritte, dabei zurückgelegte Strecke und verbrannte Kalorien und übermitteln diese drahtlos an ein Smartphone und weiter in die Cloud. Die Entwicklung schreitet aber auch in diesem Bereich stetig voran, sodass einige Modelle auch mit Herzfrequenzerfassung, Schlafüberwachung oder gar einer Stresslevelmessung aufwarten können. Anhand der schieren Menge an sensiblen und privaten Daten die dabei über den Nutzer gesammelt werden, kann prinzipiell ein vollständiger Tagesablauf und das dazugehörige Bewegungsprofil abgeleitet werden. Dass diese Daten daher unbedingt sicher und vor fremdem Zugriff geschützt erfasst, weitergeleitet und verarbeitet werden müssen, sollte unmittelbar einsichtig sein.
In einigen Teilen der Welt, u.a. auch in den USA, werden diese Geräte sogar bereits von großen Versicherungsunternehmen verwendet, um die Sportlichkeit ihrer Versicherungsnehmer auswerten und mit Rabatten oder anderweitigen Vergünstigungen belohnen zu können. Die Tatsache, dass dabei beim Versicherungsnehmer schnell eine hohe kriminelle Energie zur Manipulation zum eigenen Vorteil oder fremden Nachteil entstehen kann, ist nicht von der Hand zu weisen.
Wir haben uns in einer ersten ausführlichen Analyse einer Auswahl von verschiedenen, mehr und minder weit verbreiteten Fitnesstrackern angenommen und auf potentielle Schwachstellen und daraus resultierende Bedrohungen und Manipulationsmöglichkeiten untersucht. Wir betrachten dabei die Kommunikation zwischen Tracker und Smartphone per Bluetooth, untersuchen das Kommunikationsprotokoll und die Authentifizierung auf mögliche Schwachstellen und präsentieren, anhand ausgewählter Design- und Implementationsbeispiele, typische Angriffs- und Manipulationsmöglichkeiten der Trackerfunktionen unter Android und Bluetooth LE. Außerdem zeigen wir Konsequenzen eines unzureichenden Sicherheitskonzepts auf und führen unsere Ergebnisse zu einer Einschätzung des allgemeinen Sicherheitsniveaus aktueller Produkte im Bereich der Fitnesstracker zusammen.