Noch ist es Sommer und die Freunde der zweirädrigen Fortbewegung strampeln weiterhin in Scharen über das Land. Und da Fahrräder mit elektrischer Unterstützung mittlerweile mehr die Regel als die Ausnahme sind, wundert es niemanden, dass die motorbetriebenen Fahrräder nun auch smart und in das Internet of Things integriert werden. Wie immer bringt das Ganze, neben den offensichtlichen Vorteilen, natürlich auch Implikationen für die Sicherheit und Privatsphäre mit sich.
Im Rahmen des Quick Checks haben wir uns nun einmal einen Vertreter der Kategorie „smarter Drahtesel“ vorgenommen (oder besser gesagt: einem Kollegen „entliehen“), um beides, Fahrrad als auch mobile Applikation, unserer Analyse und unserem Urteil zuzuführen: Das Ampler Stout.
Merkmale
Zum Fahrrad selbst gibt es aus unserer Perspektive nicht viel zusagen: Das Stout wird vom Hersteller als vielseitiger Allrounder bezeichnet. Es ist knapp 18kg schwer, ist mit einem 336Wh Akku ausgestattet, der in 2,5h voll geladen ist und damit eine durchschnittliche Reichweite von 70km ermöglichen soll. Die aktuelle Version des Stout (unsere Version hat dieses Feature noch nicht) ist außerdem noch mit einem kleinen Bildschirm in der Rahmenquerstange ausgestattet, der einem auf einen Blick die relevantesten Daten, wie verbleibende Reichweite, Akkuladestand und Durchschnittsgeschwindigkeit präsentiert. Über die mobile Applikation Ampler Bikes (com.amplerbikes.mobile in getesteter Version 2.4.3) können dann Firmware-Updates durchgeführt, Fahrstatistiken eingesehen, Fahrradeinstellungen vorgenommen und der Fahrradstandort eingesehen werden. Darüber hinaus bietet die App die Möglichkeit, das Fahrrad zu sperren und auch für andere App-Nutzer freizugeben. Die neuste Version des Ampler Stout verfügt dabei über ein Mobilfunkmodul, über das die Kommunikation und Ortung stattfindet. Die uns vorliegende Version nutzt dafür noch eine Kombination aus Bluetooth zwischen Fahrrad und App und mobilem Internet von der App aus.
Mobile Applikation
Die mobile Applikation Ampler Bikes (com.amplerbikes.mobile in getesteter Version 2.4.3) weist in unserer statischen Analyse keine gravierenden Schwachstellen auf: Die Permissions sind größtenteils intuitiv erklärbar und auch wenn zum Beispiel com.google.android.gms.permission.AD_ID auf eine werbliche Nutzung etwaig gesammelter Daten hinweist, so ist diese Möglichkeit ja nicht grundsätzlich schlecht zu bewerten, solange die Datenschutzerklärung darauf hinweist. Weiterhin lassen sich, wie die eben genannte Permission schon vermuten lässt, auch die dazugehörigen Google-Tracker CrashLytics und Firebase Analytics in der App finden. Aber wie gesagt, solange der Nutzer ausführlich über deren Vorhandensein, Funktion und Datensammlung informiert wird, sehen wir darin allein erst einmal kein Problem.
Abgesehen davon sieht die Applikation laut statischer Analyse absolut in Ordnung aus: Wie bei praktisch jeder App finden sich einige Services, Receiver und Activities, die nicht vollständig abgesichert sind und so unter Umständen ein Abfluss von Daten zu anderen installierten Apps ermöglichen könnten, aber praktisch sehen wir hier eher geringes Risikopotential.
Was uns außerdem auffällt, ist die ausgesprochen konsequent umgesetzte Verwendung von Code-Obfuscation zur Behinderung von Reverse-Engineering. Wirklich selten sehen wir Applikations-Source-Code der so dermaßen stark obfuskiert wurde. Das macht es uns natürlich deutlich schwerer, eine Analyse der Applikation durchzuführen. Aber solange die Obfuscation hier nicht verwendet wird, um nach dem Prinzip „Security by Obscurity“ bewusst eine schwache Implementierung zu verschleiern, kann man dem Entwickler deswegen natürlich keinerlei Vorwürfe machen.
Lokale Kommunikation
Wie zuvor bereits erwähnt, läuft die Kommunikation zwischen Fahrrad und Applikation in der uns vorstelligen Version des Stout vollständig über Bluetooth ab. So lässt sich mit der App jedes in der Nähe befindliche Ampler Bike finden und dies sogar mit Angabe es dB-Wertes, sodass auch die Entfernung abgeschätzt werden kann. Die Reichweite von Bluetooth ist natürlich auf einige Meter beschränkt, nichtsdestotrotz wird dieses Verhalten dem einen oder anderen Nutzer sicher missfallen. Zumal sich Bluetooth auch nicht deaktivieren lässt oder das Fahrrad „unsichtbar“ gesetzt werden kann. Auffallend hierbei war, dass die Applikation zwingend eine Internetverbindung benötigt, um Fahrräder in der Nähe zu ermitteln. Wir vermuten, dass die Applikation nur Fahrräder anzeigt, wenn sie online auch überprüfen kann, zu welchem Nutzer sie gehören.
Abseits der offiziellen App lassen sich die Ampler Fahrräder aber immer über Bluetooth auffinden und tatsächlich auch frei und ohne Authentifizierung verbinden. So konnten wir im Test jederzeit eine Verbindung zum Fahrrad aufnehmen und die einzelnen Bluetooth Services und Characteristics lesen und beschreiben. Solange wir die Verbindung dabei aufrechterhielten, konnte sich nicht einmal der legitime Nutzer mit dem Fahrrad verbinden – ein klassischer Denial of Service-Angriff (DoS) ist hier also sehr einfach möglich und kann für den Nutzer extrem nervig sein: Er sperrt über die App sein Fahrrad, wir als Angreifer übernehmen anschließend die Verbindung und halten diese dauerhaft aufrecht und schon ist ein Entsperren nicht mehr möglich. Andersherum natürlich genauso möglich.
Außerdem fiel uns bei der teilweisen Analyse der Bluetooth-Kommunikation auf, dass die Fahrräder jeweils mit einer festen ID versehen sind, anhand der sie für die Applikation, aber natürlich auch für jeden anderen, der weiß worauf er gucken muss, eindeutig identifizierbar werden. Bewegungsprofile und Tracking werden so ohne Probleme möglich, wenn man es denn darauf anlegt.
Insgesamt haben wir den Eindruck, dass die Bluetooth-Kommunikation bei der Ampler-Lösung die Achillesferse sein könnte. Die umfangreiche Code Obfuscation sorgte zwar dafür, dass eine vollständiges Reverse-Engineering der Bluetooth-Kommunikation den Rahmen unseres Quick Check Formats sprengte, aber einige Indizien, dass hier mehr im argen liegen könnte, als wir ohnehin bereits auf Anhieb finden konnten, sind durchaus auffindbar. Sicher ist dies auch einer der Gründe, warum Ampler bei ihren neuen Versionen der smarten Zweiräder auf eine direkte Online-Verbindung über Mobilfunk setzt und somit einiges an Bluetooth-Kommunikation einsparen könnte. Die Gelegenheit, ein Rad der neuen Generation zu testen, hatten wir aber nicht.
Online Kommunikation
Zur Kommunikation der Applikation über das Internet lässt sich dann tatsächlich nicht viel berichten: Die Verbindungen sind stets verschlüsselt und mit dem TLS-Protokoll in Version 1.3 abgesichert. Auch alle Versuche, mithilfe von Man-in-the-Middle-Attacken einen Zugang zum Inhalt dieser Verbindungen zu erhalten, waren erfolgslos. Hier hat man nur eine Chance, wenn man die Applikation selbst so verändert, dass man das implementierte Zertifikats-Pinning explizit abschalten kann – eine Möglichkeit, die ein Remote-Angreifer nur hat, wenn er sowieso schon vollständige Kontrolle über das Nutzertelefon hätte. In der Praxis ist das eher auszuschließen. In diesem Punkt kann man die Ampler Lösung also als absolut adäquat abgesichert betrachten.
Datenschutz und Privatsphäre
Im Rahmen des Quick Checks haben wir uns natürlich auch wieder die Datenschutzerklärung für die Ampler App stand 09.06.2022 näher angesehen. Die estnische Mutter-Gesellschaft Ampler Bikes OÜ und die deutsche Ampler Bikes GmbH sind in Europa gemeinsam für die Verarbeitung verantwortlich. Zur App-Nutzung ist eine Registrierung erforderlich, die hierzu notwendigen Angaben weichen je nach Plattform ab, beispielsweise ist auch der mehr oder weniger anonyme Login per Apple-ID und versteckter Mail-Adresse möglich. In der App selbst ist die Datenschutzerklärung nach der Registrierung bzw. dem Login nicht mehr auffindbar – dies sollte sich aber einfach nachbessern lassen. Während der Kopplung von Fahrrad und App können die Benutzer- und Fahrrad-ID verknüpft werden, sodass sich nur diese bzw. authorisierte Personen mit der App verbinden können. Die aktuelle Generation der Fahrräder verfügt über ein Mobilfunkmodul und sendet hierüber Aktivitätsdaten, z.B. den GPS-Status, Diagnosedaten, Fahrdauer oder Tretgeschwindigkeit an Ampler-Server. Laut Datenschutzerklärung dienen diese Daten primär der Anzeige in der App, sekundär werden sie für die Verbesserung von Support und Updates genutzt. Die automatische Übermittlung des GPS-Standorts des Fahrrads ist optional und kann in der App an- und ausgeschaltet werden. Sollte die App 12 Monate nicht genutzt und auf die daraufhin gesendete Abfrage nicht reagiert werden, wird das Konto samt aller persönlichen Daten weitere 6 Monate später gelöscht. Ampler bleibt hinsichtlich der Kommunikation mit Dritten eher vage, hält sich beispielsweise das Recht offen, Daten im Rahmen berechtigter Interessen mit Datenverarbeitern und anderen zu teilen, die Ampler unterstützen. Weiterhin können Daten auch mit anderen Verantwortlichen geteilt werden, deren Datenschutzeinstellungen abweichen. Hier würden wir uns konkretere Angaben wünschen.
Fazit
Beim radelnden Kollegen genießt das Ampler Stout größte Beliebtheit und auch wenn wir im Test den einen oder anderen Punkt finden konnten, der aus sicherheitstechnischer Sicht das Bild ein wenig trübt, ist der Gesamteindruck immer noch ein positiver. Die angesprochenen Punkte bei der Bluetooth-Kommunikation lassen sich allerdings nicht abstreiten. Und auch wenn wir aufgrund der Vermutung von weiterem Bedrohungspotential in diesem Bereich natürlich keine Abwertung durchführen würden, reichen die identifizierten Punkte auch so schon aus, um hier einen Stern abzuziehen. Insgesamt bewerten wir also immer noch mit guten 2 von 3 Sternen.
