Wie das von uns im Februar getestete Nokia Thermo ist auch Nokia BPM+ ein Produkt aus dem Gesundheitsbereich. Es ermöglicht Blutdruck- und Pulsmessungen, die via Bluetooth an die dazugehörige App übertragen werden und in dieser angezeigt werden können. Weiterhin wird in der App angezeigt, in welchem Bereich sich die Blutdruckwerte bewegen.

Blutdruckmessung

Online-Kommunikation

Die Messdaten werden von der App TLS1.2 verschlüsselt an die Withings- bzw. Nokia-Server übertragen, sodass der Kommunikationsweg gegen einfache Man-in-the-Middle-Angriffe geschützt ist. Unverschlüsselte Verbindungen konnten nicht beobachtet werden.

Wenn ein Angreifer die Möglichkeit hätte, ein Zertifikat auf dem Smartphone des Besitzers zu installieren, wäre ein Man-in-the-Middle-Angriff mangels einer adäquaten Implementation von Certificate Pinning möglich.

Verschlüsselte Internetkommunikation

Lokale Kommunikation

Via Bluetooth werden Daten vom Blutdruckmessgerät an die App übertragen. Hierzu wird RFCOMM benutzt, ein Protokoll, das eine serielle Verbindung emuliert. Die Verbindung beider Geräte ist zu jeder Zeit vor anderen Geräten unsichtbar und daher gegen einfache Attacken geschützt.

App

Die Nokia Health Mate App ist gut obfuskiert, sodass Reverse Engineering wirksam erschwert wird. Die statische Analyse des Quellcodes der aktualisierten App ergab identische Probleme wie im Test der Nokia Activité und Body Cardio. Zur Kommunikation mit den Nokia-Servern baut die App eine TLS1.2 verschlüsselte Verbindung auf, allerdings ist in der App Certificate Pinning nicht adäquat implementiert.

Accountdaten in Appdaten

Das Accountpasswort ist MD5 gehasht in den Appdaten gespeichert. Dieser Hash wird zusammen mit der Mailadresse des Accounts genutzt, um von den Nokia Servern einen API-Schlüssel einzuholen, über welchen danach die weitere Kommunikation authentifiziert wird.

Datenschutz

Nokia stellt für das Health Programm eine Datenschutzerklärung bereit, welche ab 19 Jahren leicht verständlich ist. Sie beschreibt im Detail, welche Daten zu welchem Zweck aufgezeichnet werden. Mit Dritten werden Daten nur mit explizitem Einverständnis des Benutzers geteilt. Weiterhin liegen die Daten nur auf dem Kontinent des Benutzers. (Europa – Irland, Nordamerika – USA, Südamerika – Brasilien, Asien – Japan/Singapur, Australien)

Nokia hat in puncto Datenschutz gute Arbeit geleistet, welchem, gerade bei eHealth-Produkten wie diesem, besondere Aufmerksamkeit gewidmet werden sollte.

Die Android Berechtigungen beinhalten einige, für den reinen Einsatz des Nokia BPM+ nicht notwendige Berechtigungen. Abgesehen von der Standort-Berechtigung, welche für die Bluetooth-Kommunikation benötigt wird, wurde aber keine hiervon benötigt bzw. aktiviert.

Android App Berechtigungen

Fazit

Mit dem BPM+ schafft Nokia eine datenschutzfreundliche, sichere Lösung für die Blutdruckmessung. Die Nokia Health Mate App sowie das Nokia BPM+ werden daher mit drei von drei Sternen bewertet.