Ist Ihr Fitness Tracker Ihre Sicherheit gefährdet?
Es ist eine schwierige Aufgabe, zu überlegen, wo unsere Daten austreten werden. Wir treffen die erforderlichen Vorsichtsmaßnahmen auf unseren Geräten, installieren Antivirensoftware, führen Malware-Scans durch und hoffen, dass E-Mails doppelt oder dreifach auf verdächtiges Verhalten geprüft werden. Dies sind nur einige der möglichen Angriffsvektoren, die auf uns warten.
Sicherheitsforscher haben das abgesehen von unserem enthüllt “regulär” Eine der neuesten Technologien könnte den Angreifern einen unerwarteten, aber leicht zugänglichen Winkel bieten, um unsere persönlichen Daten zu stehlen. Fitness-Tracker wurden kürzlich unter das Sicherheitslicht gestellt, nachdem in einem technischen Bericht eine Reihe schwerwiegender Sicherheitslücken in ihren Entwürfen hervorgehoben wurde, die potenziellen Angreifern theoretisch das Abfangen Ihrer persönlichen Daten ermöglichen.
Schwerwiegende Fitnessfehler
Fitness-Tracker haben einen nie dagewesenen Anstieg der Popularität erlebt. 17 Beste Gesundheits- und Fitnessgeräte zur Verbesserung Ihres Körpers 17 Beste Gesundheits- und Fitnessgeräte zur Verbesserung Ihres Körpers In den letzten Jahren sind Innovationen im Bereich Gesundheits- und Fitnessgeräte explodiert. Hier sind nur einige der erstaunlichen Teile, die Sie verwenden können, damit Sie sich großartig fühlen. Lesen Sie mehr in den letzten Jahren. Allein im 4. Quartal 2015 stieg der Umsatz im Vergleich zum Vorjahr um 197% von 7,1 Mio. auf 21 Mio. Einheiten. Marktanalysten Parks Associates Der weltweite Markt für Fitness-Tracker wird voraussichtlich weiter wachsen. Er wird von 2 Milliarden US-Dollar im Jahr 2014 auf 5,4 Milliarden US-Dollar im Jahr 2019 ansteigen. Dies ist ein deutlicher Gewinn, der auf die Anzahl der Nutzer schließen lässt, die sich möglicherweise diesem zuvor unbekannten Angriffsvektor aussetzen.
Kanadische gemeinnützige Forschungsorganisation Effekt öffnen, und interdisziplinäres Forschungslabor Citizen Lab, untersuchte acht der beliebtesten Fitness-Wearables, die derzeit erhältlich sind: die Apple Watch, die Basis Peak, die Fitbit Charge HR, die Garmin Vivosmart, die Jawbone UP 2, die Mio Fuse, die Withings Pulse O2 und die Xiaomi Mi Band.
Im kombinierten Forschungsbericht wurde versucht herauszufinden, welche Schritte die Technologieunternehmen unternehmen, um Ihre Datensicherheit zu schützen und aufrechtzuerhalten. Während wir wissen und verstehen, dass Fitness-Tracker Herzschläge, Schritte, Kalorien und Schlafdaten sammeln, untersuchten die Forscher, was mit diesen Daten passiert, wenn sie in den Händen der Geräteentwickler sind.
Welche Daten werden an einen Remote-Server gesendet? Wie sichern die Technologieunternehmen die Daten? Mit wem wird es geteilt? Wie nutzen die Unternehmen die Informationen tatsächlich??
Wichtige Erkenntnisse enthalten:
- Sieben von acht Fitness-Tracking-Geräten senden dauerhaft eindeutige Kennungen (Bluetooth Media Access Control-Adresse) aus, die ihre Träger einer langfristigen Standortverfolgung aussetzen können, wenn das Gerät nicht mit einem mobilen Gerät gekoppelt und mit diesem verbunden ist.
- Die Anwendungen von Jawbone und Withings können genutzt werden, um gefälschte Fitnessbanddatensätze zu erstellen. Solche gefälschten Aufzeichnungen stellen die Zuverlässigkeit der Verwendung dieser Fitness-Tracker-Daten in Gerichtsfällen und Versicherungsprogrammen in Frage.
- Die Anwendungen von Garmin Connect (iPhone und Android) und Withings Health Mate (Android) weisen Sicherheitslücken auf, die es unberechtigten Dritten ermöglichen, Benutzerdaten zu lesen, zu schreiben und zu löschen.
- Garmin Connect wendet für seine iOS- oder Android-Anwendungen keine grundlegenden Sicherheitsvorkehrungen für die Datenübertragung an und setzt daher Fitnessinformationen der Überwachung oder Manipulation aus.
Dauerhafte eindeutige Bezeichner
Die Wearable-Technologie sendet ein dauerhaftes Bluetooth-Signal aus. Ob Smartwatch oder Fitness-Tracker, dieses Signal wird verwendet, um mit Ihrem Smartphone konsistent zu kommunizieren. Ihre Kommunikation mit dem externen Gerät wird über eine MAC-Adresse (Media Access Control) aufrechterhalten. Was ist eine MAC-Adresse und kann sie zur Sicherung Ihres Heimnetzwerks verwendet werden? [MakeUseOf erklärt] Was ist eine MAC-Adresse und kann damit zur Sicherung Ihres Heimnetzwerks verwendet werden? [MakeUseOf erklärt] Netzwerkstruktur und -verwaltung haben ihre eigene Sprache. Einige der verwendeten Begriffe werden Ihnen wahrscheinlich bereits vertraut vorkommen. Ethernet und Wi-Fi sind weitgehend selbstverständliche Konzepte, auch wenn sie ein bisschen mehr benötigen, um den Fitness-Tracker eindeutig zu identifizieren.
Im Zusammenhang mit Fitness-Trackern verlangt die Pflege der persönlichen Datensicherheit, dass diese Adressen zufällig ausgewählt werden, um sicherzustellen, dass der Benutzer nicht über die MAC-Adresse verfolgt und identifiziert werden kann. Bluetooth-Beacons, die in Einkaufszentren immer häufiger für die Erstellung gezielter mobiler Werbung verwendet werden, können diese Geräte mithilfe einer einzigen MAC-Adresse verfolgen und profilieren (sie können auch von jedem Benutzer mit einem geeigneten, kompakten Computer erstellt werden ein DIY-iBeacon mit einem Himbeer-Pi Die Werbung für einen bestimmten Benutzer, der durch eine Metropole geht, ist dystopische Zukunft. Aber das ist keine dystopische Zukunft: Die Technologie ist bereits hier. Lesen Sie weiter. Von den getesteten Geräten hat nur die Apple Watch ihre MAC-Adresse randomisiert “in einem Abstand von ungefähr 10 Minuten” um die Identität des Benutzers zu schützen.
Wenn die permanente MAC-Adresse protokolliert wird, könnte der Standort des Benutzers von Beacon zu Beacon verfolgt werden. Wenn ein Einkaufszentrum beschließt, während des Einkaufsbesuchs Informationen zum Standort des Benutzers zu sammeln, können die Daten an eine Marketingagentur oder einen anderen Datenbroker verkauft werden, ohne dass der Benutzer zuvor davon in Kenntnis gesetzt wird. Wenn ein einzelner Datenbroker mehrere Profile erwerben kann, können Informationen zusammengestellt werden, um ausgefeilte, zielgerichtete Werbeprofile zu erstellen, die jedes Mal aktiviert werden, wenn der Benutzer (und seine eindeutige Gerätekennung) das Gebäude betritt.
Die Apps sind genauso schlecht
Jeder Fitness-Tracker verfügt über eine eigene Überwachungs-App, die die Fülle an Fitness-Daten erfasst und in eine schöne visuelle Darstellung der Aktionen des Benutzers übersetzt. Es wurde jedoch festgestellt, dass die Apps selbst an mehreren Übertragungsorten persönliche Informationen verlieren.
Zum Beispiel würde man erwarten, dass jede Übertragung personenbezogener Daten mindestens mit HTTPS verschlüsselt wird. Was ist HTTPS und wie werden sichere Verbindungen per Standard aktiviert? Was ist HTTPS und wie werden sichere Verbindungen per Standard aktiviert? Sicherheitsbedenken breiten sich immer weiter aus haben die vorderste Front eines jeden erreicht. Begriffe wie Antivirus oder Firewall sind kein seltsames Vokabular mehr und werden nicht nur verstanden, sondern auch von… Read More; Dies konnte Garmin Connect auch nicht tun, so dass Benutzerdaten passiv einem potenziellen Lauscher ausgesetzt waren.
Obwohl Bellabeat Leaf und Withings Health Mate über HTTPS mit Remote-Servern kommunizieren, haben beide Unternehmen Klartext-E-Mails an Benutzer gesendet, um ihre Anmeldeinformationen zu bestätigen, sodass Benutzer Man-in-the-Middle-Angriffen ausgesetzt sind. Jeder Angreifer, der über Kenntnisse der Bellabeat- oder Withings-API verfügt, kann innerhalb von Minuten auf eine Vielzahl von persönlichen Fitnessinformationen zugreifen. Diese Form des Angriffs kann auch verwendet werden, um bösartige oder falsche Daten an das Wearable oder das Telefon des Benutzers zu senden.
Datenmanipulation
Drei der Fitness-Tracker-Apps wurden beobachtet “waren anfällig für einen motivierten Benutzer, der falsch erzeugte Fitnessdaten für sein eigenes Konto erstellte,” Unternehmensserver dazu verleiten, gefälschte Daten zu akzeptieren. Effekt öffnen und Citizen Lab Mehrere Anwendungen wurden entwickelt, um die Fitness-Tracker-Server dazu zu bringen, falsche Informationen zu akzeptieren. Bellabeat LEAF, Jawbone UP und Withings Health Mate stehen kurz bevor.
“Wir haben eine Anfrage an Jawbone geschickt, in der es heißt, dass unser Testbenutzer an einem einzigen Tag zehn Milliarden Schritte gemacht hat”
Ihre Anwendung verteilte Schritt-Timings gleichmäßig über einen gewünschten Zeitraum in feste Intervalle, wodurch eine künstliche Verteilung der Schritte erzeugt wurde. Die Forscher schlussfolgerten einen differenzierteren Ansatz “weisen Sie zufällig Schritte zu, um eine realistischere Verteilung zu erreichen” um der Erkennung zu entgehen.
Warum ist das ein Problem??
Fitness-Tracker können einen kontinuierlichen Datenfluss zur Erfassung persönlicher Daten aufrechterhalten. Wie viele Ihrer persönlichen Daten könnten Smart Devices verfolgen? Wie viele Ihrer persönlichen Daten könnten Smart Devices nachverfolgen? Smart Home Privacy und Sicherheitsbedenken sind nach wie vor real. Und obwohl wir die Idee der intelligenten Technologie lieben, ist dies nur eines von vielen Dingen, die Sie vor dem Tauchen beachten sollten… Lesen Sie mehr. Übliche Datenerfassungsvektoren umfassen Schritte, Herzschlag, Schlafmuster, Höhe, Geolokationen, Aktivitätsqualität und Arten von Aktivitäten.
Einige der Fitness-Tracker ermutigen ihre Benutzer, sich an zusätzlichen Fitness- oder sozialen Aktivitäten zu beteiligen, z. B. Angabe von Speisen für die Kalorienzählung und -analyse, persönliche Stimmung zu bestimmten Tageszeiten (auch in Bezug auf Aktivitäten und den Verzehr von Nahrungsmitteln), um deren Fitness zu protokollieren Ziele 10 Excel-Vorlagen zur Verfolgung Ihrer Gesundheit und Fitness 10 Excel-Vorlagen zur Verfolgung Ihrer Gesundheit und Fitness Lesen Sie mehr und verfolgen Sie den Fortschritt im Laufe der Zeit. Verfolgen Sie wichtige Bereiche Ihres Lebens in 1 Minute mit Google Forms. Verfolgen Sie wichtige Bereiche Ihres Lebens in 1 Minuten mit Google Forms Es ist erstaunlich, was Sie über sich selbst erfahren können, wenn Sie sich die Zeit nehmen, auf Ihre täglichen Gewohnheiten und Ihr Verhalten zu achten. Verwenden Sie die vielseitigen Google Forms, um Ihren Fortschritt mit wichtigen Zielen zu verfolgen. Lesen Sie mehr oder treten Sie gegen andere Fitness-Enthusiasten in gamifizierten Social-Media-Dashboard-Umgebungen an. Die besten Social-Fitness-Apps für das Arbeiten mit Freunden und der Familie Die besten Social-Fitness-Apps für das Arbeiten mit Freunden und der Familie Social-Media-Fitness-Apps können eine der wichtigsten sein Die besten Möglichkeiten, gegenüber Ihren Freunden verantwortlich zu bleiben, aber Sie müssen die App finden, die für Sie am besten funktioniert! Weiterlesen .
Die Probleme von Effekt öffnen und Citizen Lab veranschaulichen Sie die Gefahren, wenn Sie sich auf Fitness-Tracker verlassen, um in einer Reihe von Situationen zuverlässige personenbezogene Daten bereitzustellen. Fitness-Tracker-Daten wurden verwendet, um Versicherungspolicen abzusichern oder um Fortschritte bei medizinischen Problemen darzustellen. Dennoch können die Daten leicht verfälscht werden.
Machen diese Datenprobleme auch das Wesen dieser Fitness-Tracker-Technologieunternehmen fragwürdig? Wie lassen sich diese schlechten Versuche des Datenschutzes auf ihre anderen Produkte übertragen? Das Problem ist nicht nur an Fitness-Tracker gebunden, sondern es sollte von Bürgern und Aufsichtsbehörden mehr getan werden, um zu gewährleisten, dass die Benutzerdaten jederzeit geschützt werden, damit nicht ganze Branchen durch scheinbare Unachtsamkeit und Diskretion mit privaten Daten untergraben werden.
Was als nächstes?
Die Ergebnisse des Berichts sind eindeutig: Erhöhte Sicherheit basierend auf den Empfehlungen von Effekt öffnen und Citizen Lab. Persönliche und private Sicherheit ist ernst, und wir sollten Probleme ansprechen, sobald sie ankommen. Es ist jedoch nicht nur eine erhöhte Sicherheit erforderlich. Benutzer von Fitness-Trackern müssen wissen, wohin ihre Daten gesendet werden, wo sie gespeichert werden und welche anderen Parteien darauf Zugriff haben.
Es ist die Pflicht der Technologieunternehmen, mit ihren Benutzern die vollständige Tiefe der technischen Überwachung zu kommunizieren, die sie ebenfalls übernommen haben, unabhängig davon, ob sie es erkennen oder nicht, und die potenziellen Risiken.
Ist es Zeit, deinen Fitness-Tracker wegzuwerfen? Wahrscheinlich nicht, vor allem, wenn Sie eine Apple Watch nicht von Apple haben: 9 andere iPhone-freundliche Wearables nicht von Apple Watch: 9 andere iPhone-freundliche Wearables Die Ankündigung der Apple Watch war eine große Neuigkeit, aber weit davon entfernt, das einzige tragbare Gerät entworfen, um mit einem iPhone verwendet zu werden. Weiterlesen . Trotz gemischter Reaktionen auf die Ergebnisse des technischen Berichts der Fitness-Tracker-Hersteller ist es unwahrscheinlich, dass diese Schwachstellen lange bestehen.
Oder wir können zumindest hoffen, dass sie nicht lange existieren werden.
Sorgen Sie sich um Ihren Fitness-Tracker? Haben Sie durch tragbare Technologie Daten verloren? Was ist passiert? Lass es uns unten wissen!
Erfahren Sie mehr über: Fitness, Online-Sicherheit, Wearable-Technologie.