So einfach lassen sich Fitness-Tracker manipulieren

Das Internet der Dinge oder Internet of Things (IoT) wird von der IT-Security-Branche derzeit argwöhnisch beobachtet. Die schiere Menge an Geräten, die Praxis der Hersteller, die Devices möglichst rasch auf den Markt bringen, ohne auf Sicherheitsaspekte zu achten, tragen zu einem erhöhten Risiko bei. Die Zürcher Software- und IT-Sicherheitsspezialistin AdNovum hat deshalb das IoT auf ihrem Hype Cicle Information Security dieses Jahr prominent platziert und fragt sich, ob die Abkürzung nicht eher für «Internet of Trouble» stehen könne.

Wie schnell das Internet der Dinge zum Internet der Scherereien werden kann, demonstrierte AdNovum an einer Presseveranstaltung in Zürich anhand von Fitness-Trackern. Diese würden dezeit von der Versicherungsindustrie entdeckt, berichtet AdNovum-CTO Tom Sprenger. Gerade Krankenkassen geben die Schrittzähler an Kunden ab und gewähren teilweise Rabatte auf  Prämien, wenn man sich täglich bewegt und dies mit den Trackern belegen kann. «Wenn immer Geld im Spiel ist, wird es attraktiv zu betrügen», meint Sprenger denn auch und verweist zunächst auf den «sozialen Kanal». Es könnte für gewisse Leute durchaus lohnenswert sein, als «Fitness-Tracker-Sitter» die Devices mehrerer Personen zu tragen und für diese Schritte zu sammeln. «Noch bequemer ist es natürlich, wenn man die Schrittzahl software-technisch manipulieren könnte», wendet Sprenger ein.

Eigene App produziert Schritte

Wie dies funktioniert, demonstrierte anschliessend Matthias Loepfe, Leiter des AdNovum Incubator. Seine Methode war laut eigener Aussage sehr einfach. Mit einer selbstprogrammierten Mini-App gelang es ihm, auf den Server des Fitness-Tracker-Anbieters und dort auf den eigenen Account zuzugreifen. Einmal verbunden, konnte Loepfe mit wenigen Clicks die tägliche Schrittzahl nach oben treiben. Ohne also das Sofa zu verlassen, fütterte er dem Server einen 60-minütigen Jogging-Workout, der ihm bei der Versicherungsgesellschaft immerhin 40 Rappen Rabatt bescherte. Wie Loepfe weiter ausführte, sei der Aufwand für das Schreiben der «Betrugs»-App gering gewesen, denn er konnte das API des Herstellers für sein Progrämmchen verwenden.

Etwas schwieriger, aber dennoch technisch machbar, sei der Angriff über den Bluetooth-Kanal, meint Loepfe. «Dann hätte ich aber etwas länger programmieren müssen», gibt er zu. Allerdings sei Bluetooth ein weiteres Einfallstor, wie Sprenger beifügt. «Denn Geräte, die Bluetooth verwenden, bieten sich ständig anderen an und kommunizieren damit eine eindeutige Adresse», führt er aus. Der Überwachung der Träger stehe damit nichts mehr im Weg. Mit Sensoren könne man die Bluetooth-Informationen leicht abfangen und erfahren, wer, wann, wo gerade durchlaufe.