Auf dem IoT-Markt sind die Bereiche eHealth und Aktivitäts-Tracking ganz weit vorne und man kann davon ausgehen, dass sie dort auch noch langfristig eine große Rolle spielen werden. Withings, eine bekannte Branchengröße in diesen Marktbereichen und mittlerweile von Nokia übernommen, hat eine Kombination von Tracker und Personenwaage herausgebracht, die sogar so innovative Funktionen wie Pulswellengeschwindigkeitsmessung unterstützt. Die mithilfe des Trackers, der Waage und möglicherweise einer ganzen Reihe weiterer Geräte gesammelten Daten werden in der Health Mate App zusammengeführt und verarbeitet. Gespeichert werden sie auf Servern, die auf der ganzen Welt verteilt sind.

Solche Geräte und Funktionen klingen erst einmal spannend und nützlich, sie können aber auch immer ernste Auswirkungen auf die Datensicherheit und Transparenz haben. Dies ist insbesondere der Fall, wenn sie in ein angreifbares System implementiert werden.

Daher hat AV-TEST sich entschlossen, die Sicherheit der eHealth-Kombination von Withings zu testen um herauszufinden, ob sie auch den an sie gestellten Erwartungen entspricht.

App-Sicherheit

Auf der Suche nach offensichtlichen Schwachstellen und möglichen Sicherheitslücken haben wir uns die Nokia Health Mate-App für Android (com.withings.wiscale2, Version 3.1.0) vorgenommen. Reverse Engineering hat bei der App zunächst ergeben, dass eine solide Code-Verschleierung eingesetzt wird. Uns hat sie wirksam daran gehindert, jedes Element des App-Codes leicht analysieren zu können.

Die Durchführung einer automatischen statischen Code-Analyse hat dann allerdings in dem Code der App vier offensichtlich kritische Sicherheitslücken zum Vorschein gebracht (die folgende Abbildung zeigt einen Ausschnitt des Ergebnisprotokolls der Analyse). Vor allem die drei Probleme in Verbindung mit SSL-Sicherheit können fatal für die gesamte Kommunikationssicherheit der App sein.

Ergebnisprotokollauszug aus der statischen Anwendungsanalyse
Ergebnisprotokollauszug aus der statischen Anwendungsanalyse

Bei dem ersten der vier Probleme handelte es sich um den Einsatz des ALLOW_ALL_HOSTNAME_VERIFIER”, was im Grunde bedeutet, dass die Validierung des CN (Common Name) eines SSL-Zertifikats nicht angemessen geprüft wird. Im Ergebnis könnte die App daher anfällig für Man-in-the-Middle-Angriffe sein. Da der Code allerdings stark verschleiert ist und wir nicht jeden einzelnen Code-Bestandteil geprüft haben, besteht die Möglichkeit, dass eine CN-Prüfung oder eine wirksame Alternative an anderer Stelle implementiert ist. Zur abschließenden Klärung der Frage, ob die App potentiell durch MitM-Attacken angreifbar ist, hielten wir es für nötig, praktische Tests durchzuführen. Auf die Testergebnisse gehen wir im nächsten Abschnitt ein.

Zwei weitere Probleme betrafen die Entdeckung von URLs, die nicht über SSL laufen, jedoch sind beide nicht in dem Sinne kritisch, dass sie die Funktionalität der App betreffen.

Beim vierten und letzten Problem ging es ebenfalls um die Echtheitsprüfung des SSL-Zertifikats und sich daraus möglicherweise ergebende Man-in-the-Middle-Angriffe auf App-Verbindungen. Dieser Punkt konnte ohne eine Code-Prüfung ebenfalls nicht vollständig gecheckt werden und damit mussten auch hier noch praktische Tests durchgeführt werden.

Was wir zusätzlich noch geprüft haben waren die Speichergewohnheiten der App hinsichtlich der lokalen Speicherung von ungesicherten und/oder unverschlüsselten Nutzerdaten. Dabei sind wir auf eine ganze Menge lokal gespeicherter unverschlüsselter Daten gestoßen, allerdings waren keine diese Daten außerhalb des sicheren App-Ordners abgelegt. Bei einem gerooteten Smartphone könnte der Einsatz der App auf einige Sicherheitsprobleme hindeuten (wie es bei Verwendung eines gerooteten Smartphones generell der Fall ist), aber wenn man von dieser Ausnahme absieht, gibt es in dieser Hinsicht keine ernsthaften Bedenken.

Online-Kommunikation

Die Kommunikation zwischen der App und einer ganzen Reihe verschiedener Domains kann man durchaus als sehr lebhaft bezeichnen, wobei der größte Teil der besagten Kommunikation über TLS 1.2 abgesichert und damit auch angemessen geschützt ist. Lediglich die Kommunikation mit i2.shared.global.fastly.net lief über HTTP und ohne TLS-Schutz. Deren Payload wurde jedoch nicht in Klartext übertragen, und wir können nicht mit Sicherheit die Möglichkeit ausschließen, dass eine Sicherung durch Verschlüsselung auf Datenebene gewährleistet sein könnte.

Unsere Prüfungen auf mögliche Man-in-the-Middle-Angriffe haben keine offensichtlichen Schwachstellen oder Sicherheitslücken aufgedeckt; vielmehr hat sich in unseren Testszenarien gezeigt, dass solche Attacken so gut wie ausgeschlossen sind. Die infrage gestellte Implementierung des Mechanismus zur Zertifikatprüfung scheint also erfolgreich zu sein.

Ereignisprotokoll von mitmproxy; Handshake mit Nokia und Withings Servern ist aufgrund eines abgelehnten Zertifikats fehlgeschlagen
Ereignisprotokoll von mitmproxy; der Handshake zwischen Nokia- und Withings-Servern ist aufgrund eines abgelehnten Zertifikats fehlgeschlagen

Als Notiz am Rande möchten wir erwähnen, dass wir eine enorme Fülle an Kommunikation mit Diensten von Amplitude, Google Analytics und AppsFlyer beobachten konnten. Diese Verbindungen waren zwar allesamt adäquat abgesichert, aber es ist mit ziemlicher Sicherheit davon auszugehen, dass riesige Mengen an Daten über Nutzerverhalten und -informationen an bekannte Analyse-Dienste und damit an Dritte weitergeleitet werden. Daraus mögen sich per se keine negativen Auswirkungen ergeben, aber wenn man sich die doch sehr privaten Daten vor Augen führt, die vom Activité Tracker und von der Body Cardio Waage gesammelt werden, sollte dieser Sachverhalt zumindest Erwähnung finden.

Lokale Kommunikation

Die App und der Activité Tracker und/oder die Body Cardio Waage kommunizieren im lokalen Netzwerk über Bluetooth LE. Wir haben die laufende Kommunikation der Verbindungen und bei der Synchronisierung protokolliert und analysiert, um die Möglichkeit von Replay- oder Spoofing-Attacken zu prüfen. Während nicht jede Kommunikation verschlüsselt oder durch zeitabhängige Mechanismen geschützt zu sein scheint, funktioniert das Authentifizierungsverfahren selbst auf solide Weise. Im Rahmen unseres Schnelltests konnten wir keine Möglichkeit zum Replay oder zur Manipulation des Authentifizierungsverfahrens finden. Die folgende Abbildung zeigt einen Ausschnitt aus Logcat, in dem das Authentifizierungs- und Synchronisationsverfahren zwischen dem Activité Tracker und der Health Mate App dargestellt ist.

Bluetooth LE Authentifizierungs- und Synchronisierungsverfahren; Logcat Auszug
Bluetooth LE Authentifizierungs- und Synchronisierungsverfahren; Logcat Auszug

Eine positive Zusatzbemerkung verdient der Einsatz von Bluetooth LE Sicherheits-Features, eingeführt mit der Android API ab Level 21 (Android 5). Das ist zwar nicht mehr brandaktuell, aber der angemessene Einsatz dieser Sicherheits-Features bei Wearables aller Art ist etwas, was wir hier im Labor nur selten zu sehen bekommen. Im vorliegenden Fall wird eine periodische Randomisierung der MAC-Adresse des Geräts eingesetzt, um zu vermeiden, dass mithilfe einer MAC-Adressenverfolgung das Gerät und der User getrackt werden können – ein nicht zu unterschätzendes Plus in Hinblick auf den Datenschutz.

Datenschutzerklärung

In der Datenschutzerklärung der Health Mate-Lösung von Nokia wird detailliert angegeben, welche Daten gespeichert werden und für welchen Zweck:

  • Anzeige erfasster Daten
  • Verbesserung von Dienstleistungen und Produkten (anonymisierte Daten)
  • Support, sofern eine Kontaktaufnahme erfolgt
  • Marketing (kann widerrufen werden)

Die Datenschutzerklärung ist für 19- bis 20-Jährige leicht verständlich, und Daten werden nur in sehr seltenen Fällen an Dritte weitergegeben, dazu ist außerdem die Einwilligung des Nutzers erforderlich. Wir fanden gut, dass die erfassten Daten auf Servern gespeichert werden, die sich auf dem gleichen Kontinent wie die jeweiligen Nutzer befinden (Europa – Irland, Nordamerika – USA, Südamerika – Brasilien, Asien – Japan/Singapur, Australien).

Beim Test von Produkten, mit denen Fitness- und Gesundheitsdaten gewonnen und verarbeitet werden können, schauen wir uns die dazugehörige Datenschutzerklärung noch genauer an. Nokia kann man bescheinigen, dabei gute Arbeit geleistet zu haben: jeder Abschnitt ist klar verständlich und transparent formuliert.

Fazit

Eine solide Produktkombination ohne echte Sicherheitsmängel. Auch wenn es einige Bedenken hinsichtlich des Datenschutzes und der gewonnenen Nutzerinformationen gibt (solche Bedenken bestehen generell bei allen IoT-Produkten in den Bereichen eHealth und Fitness-Tracker), haben wir keine Anzeichen für tatsächliche Sicherheitslücken gefunden. Die Kombination aus Health Mate App, Activité Tracker und Body Cardio Waage erhält daher mit drei von drei Sternen die Maximalwertung.