Der Garmin vívofit 3 ist ein Fitnesstracker mit einem Jahr Batterielaufzeit inklusive Aktivitätserkennung. Es ist eher im Einsteigermarkt angesiedelt, bietet aber viele Möglichkeiten. Auf welchem Niveau sich die Sicherheit und der Datenschutz des Produkts bewegt, wurde in unserem Fitness-Tracker-Test geprüft.

Lokale Kommunikation

Für die initiale Verbindung zwischen App und Garmin vívofit 3 war die Eingabe einer PIN, die auf dem Fitnesstracker angezeigt wird, notwendig.

Koppeln des Garmin Fitnesstrackers

Die weitere Bluetooth-Kommunikation zwischen beiden ist unsichtbar, die Datenübertragung also von anderen Bluetooth-fähigen Geräten nicht einsehbar. Über den Kommunikationsablauf konnten mit Hilfe von Android-internen Tools Informationen gesammelt werden, diese sprechen für einen guten Schutz der Bluetooth-Verbindung.

Online-Kommunikation

Bilder werden unverschlüsselt heruntergeladen

Während des Registrierungsprozesses werden wenige Daten, wie z.B. Profilbilder über eine HTTP-Verbindung heruntergeladen. Abseits hiervon ist aber jede Kommunikation TLS1.2 verschlüsselt und somit gegen einfache Man-in-the-Middle Angriffe geschützt.

TLS1.2 verschlüsselte Kommunikation

App

Die Garmin Connect App besitzt laut statischer Analyse keine offensichtlichen Schwachstellen, weiterhin werden alle Daten der App im geschützten App-Bereich gesichert abgespeichert. Weiterhin ist die App gut obfuskiert, erschwert Angreifern also das Reverse-Engineering der Funktionsweise der App. Durch die Implementation von Certificate Pinning, also erweiterter Zertifikatsvalidierung, würde die App auch gegen Angriffe geschützt sein, bei denen der Angreifer ein CA-Zertifikat auf dem Gerät des Besitzers installieren muss. Dieses ist beispielsweise für das Mitlesen und Manipulieren von verschlüsselter Kommunikation in einem Man-in-the-Middle Angriff notwendig. In der Regel validieren Apps nur die Gültigkeit des Zertifikats. Bei Certificate Pinning wird aber zusätzlich geprüft, ob der bekannte Public Key mit dem des Zertifikats übereinstimmt. Sollte dies nicht der Fall sein, wird die Kommunikation abgebrochen – unabhängig davon, ob dem Zertifikat in erster Instanz vertraut wird.

Datenschutz

In der Datenschutzerklärung von Garmin Connect ist detailliert beschrieben, welche Daten erfasst werden und zu welchem Zweck diese verwendet werden. Daten werden nicht an Dritte weitergegeben, sofern nicht die explizite Zustimmung vorliegt, beispielsweise durch Klick auf „Teilen“ oder das Einbinden von Drittanbieter Apps in das Garmin Connect Programm. In die Garmin Connect App sind diverse Analyse-Dienste (Google Analytics, Azure Application Insights, HockeyApp, Crashlytics) eingebunden.

Benutzer mit Wohnhaft in der Europäischen Union sind gemäß der Datenschutzgrundverordnung (DSGVO) berechtigt, Zugriff auf ihre gespeicherten Daten zu nehmen. Im Kontoverwaltungscenter besteht hierzu die Möglichkeit.

Fazit

Die Garmin vívofit 3 und die dazugehörige App sind sowohl in ihrer Bluetooth- als auch in ihrer Cloud-Anbindung gut geschützt. In Puncto App gibt es Verbesserungsmöglichkeiten, welche sich aber nicht negativ auf die Wertung auswirkten. Auch im Datenschutzbereich können wir eine klare Empfehlung aussprechen.