Bei einem der Hersteller, der bereits in früheren Tests mit Produkten der Kategorie Fitness-Tracker vertreten war, vergleichen wir natürlich automatisch auch immer die Veränderung, die Verbesserungen und Verschlechterung zum Vortest. Die Produkte von Jawbone schnitten dabei recht mittelmäßig ab, ob und inwiefern sich das bei der aktuellsten Version, dem Jawbone UP3, zum Besseren verändert hat, soll der folgende Testbericht klären.

 

Applikationssicherheit

Die zum UP3 gehörenden Applikation (com.jawbone.upopen; getestete Version 4.29.0) bietet auf den ersten Blick keinen Grund für Kritik: Die standardmäßige, statische Analyse, die als erster Schritt der App-Untersuchung durchgeführt wird, lieferte lediglich einige wenige Anhaltspunkte für mögliche Schwachstellen, von denen sich allerdings keine als wirklich kritisch herausstellte. Eine großflächige Obfuscation des Quellcodes erschwert außerdem auch weniger versierten Angreifern, die Suche und Identifikation von etwaigen Schwachstellen und erhöht dadurch weiter das Sicherheitslevel der Applikation.

Die Implementation der für die SSL-Kommunikation relevanten Bereiche, erscheint im Falle der Jawbone-Applikation durchaus gelungen. Gerade die Umsetzung des Trustmanagers, die Standardmöglichkeit eine adäquate Zertifikatsvalidierung unter Android umszusetzen, ist mit allen benötigten Funktionen umgesetzt. Die Applikation ist somit mit den Werkzeugen ausgestattet, die notwendig sind um verschlüsselt zu kommunizieren und diese verschlüsselte Kommunikation auch gegen potentielle Man-in-the-Middle-Angriffe abzusichern. Die korrekte Funktion der Implementation wurde anschließend noch in praktischen Tests überprüft.

Weiterhin konnten keine weiteren offensichtlichen Schwachstellen in diesem Bereich festgestellt werden – Es gibt keine ungesicherte Speicherung von sensiblen Informationen außerhalb des geschützten App-Bereichs, noch konnten wir eine exzessive Protokollierung oder der App-Aktivität feststellen. Insgesamt macht die Jawbone-Applikation in diesem Punkt einen guten Eindruck.

 

Lokale Kommunikation

Die lokale Kommunikation zwischen Applikation und Tracker läuft auch beim Jawbone über Bluetooth LE ab. Dabei lässt der Tracker auch nur eine exklusive Verbindung zu, sodass Angriffsversuche bei bestehender Verbindung zum legitimen Nutzertelefon von vornherein praktisch schwierig sind. Weiterhin wird auch bei der Einrichtung ein festes Pairing zwischen Tracker und Nutzertelefon durchgeführt, bei dem die für die verschlüsselte Kommunikation benötigten Schlüssel ausgehandelt werden. Die Kommunikation findet anschließend nur noch verschlüsselt statt, sodass auch ein etwaiges Abhören der Funkverbindung keine wertvollen Informationen liefern sollte. Hinweise auf die ausgehandelten Schlüssel lassen sich zwar in den App-Daten finden, sodass auf Smartphones mit root-Rechten die Möglichkeit eines Ausspionierens dieser existiert. Wie immer werten wir dies aber nicht als Schwachstelle, da ein „rooten“ des Smartphones naturgemäß immer sicherheitstechnische Probleme mit sich bringt, die der App-Entwickler nur schwerlich vollständig absichern kann.

 

Online Kommunikation

Wie die statische Analyse der Quellcodes bereits vermuten ließ, ist die online Kommunikation der Jawbone-Applikation adäquat abgesichert. Auch die praktischen Tests lieferten dabei keinen Anlass für eine andere Annahme – Die Registrierung, der Login und auch die Synchronisation liefen vollständig über verschlüsselte, TLS gesicherte Verbindungen und auch unsere standardmäßigen Man-in-the-Middle-Angriffe konnten keine offensichtlichen Schwachstellen ausfindig machen. Natürlich ließe sich hier die Sicherheit auch noch weiter erhöhen, beispielsweise durch die Verwendung von Client-Zertifikaten, allerdings schätzen wir den Sicherheitslevel hier schon als für den Zweck absolut adäquat ein.

 

Datenschutz

Da die Jawbone-Website seit geraumer Zeit nicht mehr erreichbar ist, stützen wir uns auf die Datenschutzerklärung zum Testzeitpunkt. Laut Änderungsdatum wurde die Datenschutzerklärung zuletzt am 16. Dezember 2014 aktualisiert. (Stand 15.12.2017)

Die Verarbeitung der Daten findet in den USA sowie weiteren nicht näher benannten Ländern statt. Es wird detailliert aufgeschlüsselt, welche Daten vom Fitnesstracker erfasst werden, wie beispielsweise Mikrobewegungen zur weiteren Analyse des Schlafverhaltens etc. Die Daten werden in anonymisierter Form für Nutzungsstatistiken und zur Produktverbesserung verwendet. Daten werden nicht verkauft, sondern nur mit Diensteanbietern geteilt, die die Leistungen von Jawbone bereitstellen. Einsicht in und Löschen der aufgezeichneten Daten ist laut Datenschutzerklärung über die App oder über die Jawbone-Website möglich. Bei letzterer können auch die aufgezeichneten Daten heruntergeladen werden.

Urteil

Im Vergleich zu früheren Tests von Jawbone-Produkten, kann man hier als Tester einen wirklichen Fortschritt erkennen. Gerade in den Belangen Applikationssicherheit, lokaler und online Kommunikation hat sich vieles zum Besseren hin getan. Im Bereich Datenschutz kann man kritisch betrachtet Punkte finden, die zumindest bedenklich erscheinen, aber diese Aussage trifft auf viele getestete Produkte zu. Insgesamt überzeugt das Jawbone UP3 durch ein absolut adäquates Sicherheitsniveau und wird dementsprechend auch mit der vollen 3-Sterne-Bewertung versehen.