Der persönliche Fitnessplan, der gar nicht so persönlich ist

Permissive Suchfunktionen in einer Online-Tracking-App haben es Forschern ermöglicht, beispielsweise hochsensible Militär- und Geheimdienstmitarbeiter zu lokalisieren und schnell herauszufinden, wo sie sich aufhalten. Außerdem war es möglich, Gigabytes an Informationen automatisch herunterzuladen. Der Fehler lag in der Art und Weise, wie der Hersteller die Details der Workouts von Benutzern über mehrere Jahre hinweg darstellte und es erlaubte, nach ihnen zu suchen. Die Webapplikation zeigte genau an, wo jemand trainiert hatte. Ein Klick auf ein Symbol und schon waren Details, die ein Nutzer in der App registriert hatte, zusammen mit allen anderen Trainingsorten, säuberlich dargestellt. So konnte man diese Informationen nutzen, um Trainingsrouten zu finden, die an der gleichen Adresse begannen und endeten – schon war das Zuhause gefunden.

Auch wenn Nutzer in der App als privat gekennzeichnet oder mit einem falschen Namen registriert waren, ließ sich die Identität schnell herausfinden. Die protokollierten Aktivitäten und die damit erkennbare Privatadresse führte mit einer einfachen Recherche schnell zum richtigen Namen.

„Gadgets wie Fitness-Tracker sind sicherlich sinnvoll, um ein persönliches Fitness-Programm zu erstellen und den Trainingserfolg zu verfolgen. Ganz ähnlich verhält es sich mit anderen smarten Geräten, wie beispielsweise Gesundheits-Tracker, welche das Herz-Kreislaufsystem oder sogar den Schlaf protokollieren. Viele Nutzer denken erst gar nicht daran, dass auch diese Geräte zum Datendiebstal geeignet sind. Im Grunde sind es nur kleine Computer oder in manchen Fällen Smart Watches, die genauso wie Mobilgeräte oder PCs mit dem Internet verbunden sind. Nur sind diese Geräte oft nicht für die heutigen Security-Anforderungen konstruiert und daher leicht von Hackern zu knacken“, erklärt Michael Veit, IT-Sicherheitsexperte bei Sophos. „Man sollte sich vor der Nutzung solcher Gadgets genau darüber informieren, welche Daten über das Internet verbreitet und welche Sicherheitsstandards eingehalten werden. Danach kann jeder selbst entscheiden, wie freizügig er mit seinen persönlichen Informationen umgehen mag.“

Mehr Details dazu ist von Danny Bradbury auf Sophos Naked Security zu finden unter: https://nakedsecurity.sophos.com/2018/07/10/privates-on-parade-fitness-tracker-app-reveals-sensitive-user-details/