TomTom vertreibt unter dem Namen „Spark 3“ Fitnessuhren, die Zusatzfunktionen wie GPS-Tracking, Herzfrequenzmessung oder einen Musikplayer mitbringen. In unserem Fitness-Tracker-Test haben wir die Spark 3 auf Herz und Nieren geprüft.

Einrichtung

Bevor die Fitnessuhr mit der Smartphone-App gekoppelt werden kann, muss sie erst per beiliegendem USB-Kabel an den PC angeschlossen werden. Über die PC-Software „TomTom Sports Connect“ erfolgt zu Beginn ein Firmwareupdate der Spark 3, weiterhin wird hier die Kontoerstellung bzw. Registrierung vorgenommen. Sowohl Update als auch die Registrierung erfolgen vollständig TLS1.2 verschlüsselt.

Lokale Kommunikation

Die Bluetooth-Kommunikation zwischen App und Spark 3 ist gut geschützt, beispielsweise ist eine PIN-Authentifizierung notwendig, bevor eine Synchronisation der Daten erfolgen kann. Weiterhin ist sie Bluetooth-technisch unsichtbar, sofern die App verbunden ist.

Online-Kommunikation

Die TomTom Sports App kommuniziert stets TLS1.2 verschlüsselt mit TomTom-Servern in den Niederlanden sowie einem Analyse-Dienstleister in den Vereinigten Staaten (Crashilytics). Nach Login in der App wird ein vermutlich statischer Auth Token benutzt, um sich bei dem Cloudserver zu authentifizieren.

TLS1.2 verschlüsselte Kommunikation zu TomTom-Servern

App

Zum Testzeitpunkt hatte die App für Get-Requests an die TomTom-API keine Zertifikate validiert, sodass hierdurch unbemerkt Daten, wie der bereits benannte Auth Token, im Rahmen eines Man-in-the-Middle Angriffs mitgelesen werden konnten. Diese Lücke wurde allerdings kurzfristig geschlossen. Nun ist die App (wieder) gegen einfache Man-in-the-Middle-Angriffe geschützt. Nach Installation des dazugehörigen CA-Zertifikats können Man-in-the-Middle Angriffe allerdings von Erfolg gekrönt sein, da die App selbst nur die Gültigkeit des Zertifikats, nicht aber auf weitere Daten, wie bspw. den Aussteller prüft. Aufgrund des vermutlich statischen Auth Tokens, der für alle API-Abfragen genutzt wird, Die Implementation von Certificate Pinning legen wir TomTom hier nahe. Da ein Angriff dieser Art allerdings direkten Gerätezugriff für die Zertifikatinstallation voraussetzt, wird dies nicht negativ gewertet.

App-Oberfläche

Datenschutz

Die Datenschutzerklärung von TomTom erklärt sehr detailliert, welche Daten gesammelt werden und wofür diese benutzt werden. Für Statistiken und Ranglisten werden anonymisierte Daten genutzt, weiterhin werden keine Daten an Dritte übermittelt. Im Konto selbst sind Daten manuell löschbar, ansonsten werden sie automatisch nach 3 Jahren Nichtbenutzung des Accounts gelöscht.

Fazit

TomTom liefert mit den „Spark 3“ Fitnesstrackern eine sichere Lösung, die auch in puncto Datenschutz sehr gut aufgestellt ist. Daher wird sie mit 3 von 3 Sternen bewertet.