Ein weiterer Fitness-Tracker mit bekanntem chinesischem Namen wurde im Rahmen unseres großen Sicherheitsvergleichstests Fitness-Tracker in unserem Labor einer umfangreichen Sicherheitsanalyse unterzogen. Ob das Huawei Band 2 Pro dabei besser abschneidet als seine im Test eher mittelmäßigen Landsmänner von Lenovo und Xiaomi, soll der folgende Testbericht klären.
Applikationssicherheit
Als erster Schritt unserer Untersuchung wurde auch beim Huawei Band 2 Pro zuallererst die mobile Applikation analysiert. In diesem Fall war für den Test der Absicherung der vollständigen Funktionalität die Untersuchung von drei verschiedenen Applikationen notwendig (com.huawei.bone Version 21.0.0.366; com.huawei.hwid Version 2.5.3.301; com.huawei.health Version 8.0.0.309). Alle drei Apps weisen aber wenig überraschend ein sehr ähnliches Sicherheitsniveau auf. Die Ergebnisse werden dementsprechend hier für alle drei zusammengefasst besprochen.
Die statische Analyse ergab dabei eine relativ lange Liste von potentiellen Gefahren und Schwachstellen. Unter anderem werden dabei Probleme mit der Sicherheit der SSL Implementation vermutet, besonders die Zertifikatsvalidierung, Keystore-Verwendung und allgemein die Verwendung von HTTP betreffend. Außerdem wurde der hohe Berechtigungslevel angemerkt, den die Applikation für den Betrieb verlangt. Inwiefern die gefundenen potentiellen Probleme auch praktisch relevant sind, wurde anschließend in den praktischen Tests zur lokalen und Online-Kommunikation untersucht.
Abgesehen davon machen die Applikationen einen guten Eindruck: Der Quellcode der drei ist in einem adäquaten Grad durch Obfuscation abgesichert und auch eine ungesicherte lokale Speicherung von sensiblen Informationen konnte im Test nicht festgestellt werden. Positiv ist ebenfalls die implementierte Root-Erkennung innerhalb der Applikationen, die den Nutzer bei einem eventuell gerooteten Smartphone darauf hinweist, dass bei der Benutzung der App nicht mehr ausgeschlossen werden kann, dass die Daten unbefugt mitgelesen werden. Eine Warnung, die wir uns in dieser Form standardmäßig bei allen Applikationen wünschen würden, die mit sensiblen Daten umgehen.
Außerdem ließ sich der Quellcode der drei Applikationen nicht ohne weiteres manipulieren und wieder in eine funktionsfähige Version der Applikationen zurückübersetzen, weil unsere Standard-Tools für die En- und Decodierung von Android .apk’s an dieser Stelle versagten. Ob beabsichtigt oder nicht, ein Zuwachs für die Sicherheit!
Lokale Kommunikation
Im Bereich der lokalen Kommunikation konnten wir im Test keine nennenswerten Schwächen auffinden: Die Kommunikation scheint durch eine adäquate Authentifizierung geschützt und ausreichend verschlüsselt bzw. verschleiert. Insgesamt erscheint das Huawei Band 2 Pro in diesem Punkt unauffällig.
Online Kommunikation
Auch bei der Kommunikation über das Internet konnten wir bei den Huawei Applikationen keine echten Schwachstellen ausfindig machen: Alle beobachteten Verbindungen, inklusive Registrierung, Login und Synchronisation, waren dabei adäquat verschlüsselt und auch unsere standardmäßigen Man-in-the-Middle-Angriffe blieben hier erfolglos und führten in unseren Tests zu keinem einfachen Datengewinn für einen potentiellen Angreifer. In diesem wichtigen Punkt können wir dem Huawei Band 2 Pro damit ebenfalls ein adäquates Sicherheitsniveau bescheinigen.
Datenschutz
Die Datenschutzerklärung des Huawei Health Programms ist leider vom Kunden vorab über die Huawei-Website nicht einsehbar. Nach dem ersten Start der App wird die sehr ausführliche Datenschutzerklärung allerdings angezeigt. Diese enthält Informationen über die gesammelten Daten, deren Verarbeitung und die Zwecke der Aufzeichnung. Weiterhin wird auch der Ort der Datenverarbeitung benannt, im Fall von Nutzern in der EU beispielsweise ausschließlich in Irland. Daten werden nicht mit Dritten geteilt, ohne dass die explizite Einwilligung vorliegt. Auch die Speicherdauer von Daten ist detailliert aufgeschlüsselt. Nach Bestätigung der Datenschutzerklärung werden die benötigten App-Berechtigungen ebenfalls noch einmal erklärt, weiterhin kann dem Upload von Fitnessdaten in die Cloud widersprochen werden. In den App-Einstellungen ist weiterhin das Löschen einzelner sowie aller Cloud-Daten möglich.
Eine derart datenschutzfreundliche Lösung haben wir bisher selten gesehen. An der Herangehensweise von Huawei können sich nicht nur andere asiatische, sondern auch viele europäische Hersteller ein Beispiel nehmen.
Urteil
Sicherheitstechnisch leisten sich weder das Huawei Band Pro 2 noch die dazugehörigen Applikationen eine echte kritische Schwachstelle, wenn es um die Angreifbarkeit für potentielle Dritte geht. Im Bereich des Datenschutzes leistet Huawei sehr gute Arbeit und informiert seine Nutzer adäquat, allerdings ist die Datenschutzerklärung nicht online verfügbar. Insgesamt rechtfertigen diese wenigen Punkte allerdings keine Abwertung. Dementsprechend wird das Huawei Band 2 Pro mit den vollen 3-Sternen bewertet.
Previous article 
