Wearables verschlüsseln Nutzerdaten kaum
In einem Versuch konnte Symantec mit einem Raspberry Pi Wearables orten und verfolgen. Dazu nutzten sie das unverschlüsselte Übertragen von persönlichen Informationen über die Bluetooth-Schnittstelle an das Smartphone.
Wearables stellen eine Gefahr für die eigene Privatsphäre dar – zu diesem Ergebnis kommt eine Studie von Symantec. Konkret ist die Kommunikation des tragbaren Kleinrechners mit dem oft notwendigen Smartphone die zentrale Lücke. Fast immer stellen die beiden Geräte eine Verbindung per Bluetooth her. Zwar sieht der Standard mehrere Modi zur Sicherheit vor, doch die sichereren Optionen gehen davon aus, dass auch die Dienste ihn implementieren.
(Bild: Symantec)
Grundlegend sind Wearables, vor allem im Sport-Bereich, darauf ausgelegt, konstant den Körper und die Bewegung des Trägers zu erfassen, damit anschließend eine App auf dem Smartphone die Daten analysieren kann. Da die winzigen Computer in den meisten Fällen keine Kapazitäten für komplizierte Aufgaben bereitstellen können, ist das Senden nicht optional.
Um die konstant funkende Schnittstelle auslesen zu können, griff Symantec auf ein Raspberry Pi und ein Bluetooth-Dongle zurück. Damit sie den digitalen Spion unterwegs einsetzen konnten, kam noch eine Batterie hinzu – für einen Gesamtpreis von 75 US-Dollar. Mit dem Paket konnten auf öffentlichen Orten und Sportveranstaltungen in Irland und der Schweiz Daten erfasst werden.
Bereits bei einem passiven Lauschen nach den Signalen der Nutzer konnte Symantec die Wearable-Träger orten. Verfolgen ließen sich einige Geräte, da sie ebenfalls eine Seriennummer sendeten. Die konnte ein zweiter Pi auffangen und so eindeutig zuweisen. Das Unternehmen geht davon aus, dass sie mit einem aktiven Angriff direkt auf die persönlichen Daten des Nutzers zugreifen könnten.
Viele Apps zur Fitness setzen zudem auf einen Server zum Speichern und Weiterverarbeiten der Daten eines Nutzers. Symantec geht davon aus, dass etwa 20 Prozent der Anwendungen auch diese Übertragung nicht verschlüsseln. Die Informationen seien zwar durch einen Account gesichert, doch Nutzername und Passwort ließen sich häufig genauso einfach auslesen. Gefahren ergeben sich vom Stehlen der Identität bis hin zum klassischen Einbruch – denn so könnten Kriminelle schnell feststellen, wo wer wohnt und ob jemand im Haus ist. (fo)
