HP hat im Rahmen seiner fortlaufenden Studie „Internet of Things“ verschiedene Smartwatches unter die Lupe genommen und auf ihre IT-Sicherheit hin untersucht. Das Ergebnis zeigt, dass Smartwatches aufgrund ihrer Netzwerk- bzw. Kommunikationsfunktionen angreifbar sind.
ERSCHRECKENDE ERGEBNISSE
Die HP-Studie deckt dabei auf, dass durchwegs alle getesteten Smartwatches erhebliche Schwachstellen aufweisen. So wurden unzureichende Authentifizierung, fehlende Verschlüsselungen und Datenschutzprobleme entdeckt.
DIE 4 HÄUFIGSTEN SICHERHEITSLÜCKEN
1. UNZUREICHENDE AUTHENTIFIZIERUNG
Alle getesteten Smartwatches waren mit einer mobilen Schnittstelle verbunden, die über KEINE Zwei-Faktor-Authentifizierung verfügt. Nutzerkonten werden nach drei bis fünf Log-in-Fehlversuchen auch nicht gesperrt. Brute-Force-Attacken steht somit Tür und Tor offen. Drei von zehn Smartwatches waren außerdem nicht gegen sogenanntes „Account Harvesting“ geschützt. Somit kann ein Hacker durch die Kombination von schwachen Kennwortanforderungen, fehlender Kontensperrung und der Zugänglichkeit von Nutzernamen auf das Gerät zugreifen.
2. MANGELHAFTE VERSCHLÜSSELUNG
Zwar verfügen alle getesteten Uhren über Transportverschlüsselung mit SSL/TLS, jedoch sind 40 Prozent aller Cloud-Verbindungen immer noch nicht sicher vor POODLE-Attacken, erlauben eine zu schwache Verschlüsselung oder nutzen noch das veraltete SSL v2.
3. UNSICHERE SOFTWARE
70 Prozent der Smartwatches wiesen Schwachstellen beim Schutz von Firmware-Updates auf. Dies beinhaltet sowohl die Übertragung unverschlüsselter Firmware-Updates als auch unverschlüsselter Update-Dateien. Wenigstens verhindern die meisten Updates die Installation verseuchter Firmware. Obwohl also schädliche Updates nicht installiert werden können, lassen sich diese Dateien aufgrund mangelnder Verschlüsselung dennoch herunterladen.
4. DATENSCHUTZ
Auf allen Geräten fanden sich personenbezogene Daten wie Name, Adresse, Geburtsdatum und Geschlecht. Aber auch sensible Gesundheitsdaten wie Gewicht, Herzfrequenz oder andere Informationen zur Fitness des Nutzers. Gepaart mit den Problemen beim Schutz der Nutzernamen und der Verwendung schwacher Kennwörter kann es zu Datenmissbrauch kommen.
EMPFEHLUNGEN FÜR NUTZER
Man sollte beim Kauf grundsätzlich auch immer den Datensicherheitsaspekt mit berücksichtigen. Insbesondere wenn es um Gesundheitsdaten geht. Es ist dringend zu empfehlen, eine Passcode-Funktion einzuführen, komplexe Passwörter und eine Zwei-Faktor-Authentifizierung zu verwenden, um ungewollten Datenzugang zu verhindern. Auch sollten Sie keine unbekannten Verbindungen annehmen.