Als ein bekannter Hersteller unter anderem im Bereich der Fitness- und Health-Gadgets durfte Polar in unserem großen Fitness-Tracker-Test natürlich nicht fehlen. Für den Test haben wir als Vertreter das Modell A370 ausgewählt. In vergangenen Untersuchungen haben die Produkte des Unternehmens Polar in unserem Labor sicherheitstechnisch immer überzeugt. Ob dies auch für das diesmal getestete Modell der Fall ist, soll der nachfolgende Testbericht klären.

 

Applikationssicherheit

Untersucht wurde die Polar Flow Applikation (fi.polar.polarflow in der Version 3.6.5). Bei der statischen Analyse der App fanden sich Hinweise auf mögliche Schwachstellen in der Implementation der SSL-abgesicherten Kommunikation. Bei genauerer Inspektion fiel allerdings auf, dass diese Schwachstellen zwar existieren, allerdings nur in Drittanbieter-Code-Modulen, die aber von der App praktisch nicht für die Kommunikation genutzt werden. Die genutzte Umsetzung ist dagegen nach unserer Analyse frei von offensichtlichen Schwachstellen und damit als adäquat sicher einzustufen.

Der Quellcode selbst nicht durch eine Obfuscation verschleiert und macht ein Reverse-Engineering dadurch relativ einfach auch für weniger versierte Versuche. Allerdings stellt das allein natürlich noch keine Schwachstelle an sich dar.

Weiterhin finden sich im App-Folder alle Nutzerdaten, wie Mail, Accountname, Passwort und ähnliches unverschlüsselt abgelegt. Der Zugriff auf diesen Ordner wird vom Android-System  kontrolliert und beschränkt, sodass keine andere Applikation dort lesen kann, bei der Verwendung von einem Smartphone mit root-Rechten kann dies allerdings ausgenutzt werden.  Aber auch dies können wir kaum als Schwachstelle werten.

 

Lokale Kommunikation

Die lokale Kommunikation per Bluetooth war auch in vorangegangenen Tests immer eine Stärke der Polar Geräte. Auch dieses Mal erlaubt sich das getestete Modell in diesem Bereich keine nennenswerte Schwäche – Ein exklusives Pairing zwischen Tracker und App auf Smartphone, ausgelöst per Hardwarebetätigung am Tracker und Pin-Bestätigung am Smartphone sorgt für eine gesicherte Bekanntmachung der Geräte. Die Datensynchronisierung läuft verschlüsselt ab und auch nur auf explizite Anweisung des Nutzers hin – ohne Betätigung des entsprechenden Buttons am Tracker ist die Verbindung zum A370 nicht möglich. Mehr kann man an dieser Stelle nicht verlangen. Sehr gut!

 

Online Kommunikation

Auch hinsichtlich der Kommunikation zwischen Applikation und Cloud erscheint die Polar Produktkombination wieder vorbildlich – Die Registrierung und Synchronisation mit polarremote.com laufen vollständig verschlüsselt ab und auch unsere standardmäßigen Man-in-the-Middle-Angriffe lieferten hier ebenfalls keine Hinweise auf etwaige Schwachstellen oder Sicherheitslücken. Insgesamt können wir in diesem Punkt keinen Grund für Kritik ausmachen.

Sichere Kommunikation zwischen Polar-Applikation und -Cloud

 

Datenschutz

Zum Testzeitpunkt hatten wir an der Datenschutzerklärung von Polar mehrere Punkte kritisiert. Polar kontaktierte uns hieraufhin und binnen kurzer Zeit wurde die Datenschutzerklärung deutlich aufgebohrt und die Transparenz für den Kunden weiter verbessert. Weiterhin wurde hierzu ein FAQ-Bereich angelegt, der auf wichtige Fragen nochmals einzeln eingeht.

Änderungsdatum sowie eine Versionierung sind vorhanden, der Link zu früheren Versionen der Datenschutzerklärung verweist allerdings aktuell noch auf das Impressum der Polar Website.

Gesammelte persönliche Daten werden klar benannt und in anonymisierter Form in der Forschung und Produktentwicklung sowie für Statistiken verwendet. Sollten Daten in Nicht-EU-Staaten übertragen werden, so liegt diesen Übertragungen das EU-US- bzw. Schweiz-US-Datenschutzschild zugrunde. Bevor wichtige Daten wie z.B. Herzfrequenzdaten verarbeitet werden, wird eine gesonderte Erlaubnis zu deren Erhebung und Speicherung eingeholt.

Urteil

Wie auch schon in vergangenen Tests mit Modellen der Marke Polar, können wir auch beim A370 in Verbindung mit der Polar Flow Applikation keine offensichtlichen Schwachstellen oder sicherheitstechnischen Probleme ausmachen. Bei der Überarbeitung der Datenschutzerklärung hat Polar außerdem sehr gute Arbeit geleistet, daher nehmen wir eine Aufwertung auf die vollen 3 von 3 möglichen Sternen vor.