Wenn einer der großen Namen im Elektronikbereich einen Fitness-Tracker auf den Markt bringt, der zusätzlich auch noch durch den vergleichsweise günstigen Preis auffällt, ist uns das natürlich einen Blick wert. So haben wir im Rahmen unseres großen Fitness-Tracker Tests das Lenovo HW01 unseren umfangreichen Sicherheitstests unterzogen. Dabei zeigten sich doch teils schwerwiegendere Probleme, die im Folgenden erläutert werden sollen.

 

Applikationssicherheit

Die dazugehörige mobile Applikation „Lenovo Healthy“ (in der getesteten Version 1.3.0 (170920)) wurde von uns auf potentielle konzeptionelle und implementationstechnische Sicherheitslücken überprüft. Der erste Untersuchungsschritt, die statische Analyse lieferte dabei bereits eine längere Liste möglicher kritischer Probleme. Vorallem mögliche Schwachstellen in der Implementation der SSL gesicherten Kommunikation wird hierbei mehrfach festgestellt. Neben einigen gefunden ungesicherten URLs im Quellcode, werden auch Probleme in der Zertifikatsvalidierung festgestellt, sodass auch eigentlich gesicherte verschlüsselte Verbindungen anfällig für bestimmte Angriffstechniken, wie Man-in-the-Middle-Attacken, sein könnten. Die so ermittelten möglichen Schwierigkeiten wurden dann in praktischen Tests weiter untersucht.

Die anschließende manuelle Analyse sicherheitsrelevanter Code-Bereiche zeigte außerdem weitere  mögliche Sicherheitsrisiken auf. So sind die verwendeten Krypto-Funktionen in vielen Fälle über statische Berechnungen (XOR-Verknüpfungen u.ä.) umgesetzt, wohingegen für andere Teile Schlüssel (beispielsweise für die AES-Verschlüsselung), fest implementiert im Quellcode, gefunden werden können. Beides Techniken, die vom sicherheitstechnischen Standpunkt aus nicht zu vertreten sind, gerade da es durch die fehlende Obfuscation auch für ungeübte Angreifer ein Leichtes ist, diese Codestellen ausfindig und sich zunutze zu machen.

Hinzu kommt noch eine exzessive Datenspeicherung außerhalb des durch Android abgesicherten App-Speicherbereichs. So werden auf der SD-Card frei verfügbar für jede andere App auf dem Smartphone. Dabei werden vorallem System- und Prozessinformationen gespeichert. In den Logs können beispielsweise Daten zu laufenden Prozessen und belegten Ressourcen gefunden werden – wozu diese Daten ermittelt und gespeichert werden und ob sie gegebenenfalls auch in die Cloud übertragen werden, kann nicht sicher bestimmt werden. Der Fakt dass diese Daten überhaupt existieren und die Applikation zusätzlich auch noch auffällig hohe Berechtigung für den Betrieb einfordert weckt allerdings nicht unbedingt Vertrauen.

Auf der SD-Karte protokollierte laufende Prozesse und verwendete Ressourcen

 

Lokale Kommunikation

Die lokale Kommunikation zwischen App und Tracker wird hier, wie auch bei allen anderen getesteten Geräten, über Bluetooth LE umgesetzt. In diesem Punkt leistet sich das Lenovo Produkt auch eigentlich nur einen offensichtlichen Schwachpunkt: Für das Pairing wird standardmäßig völlig korrekt eine physische Bestätigung am Tracker verlangt, über Authentifizierung hatte man sich also Gedanken gemacht. Allerdings konnten wir im Test das Gerät parallel mit zwei unterschiedlichen Nutzer-Accounts verwenden, ohne eine erneutes Ablernen oder einen Reset durchführen zu müssen, und so problemlos gesammelte Daten zwischen verschiedenen Nutzern teilen. Für die Verwendung in beispielsweise Versicherungs-Bonusprogrammen oder ähnlichem kann man das Lenovo HW01 also dementsprechend nicht empfehlen – zumindest aus Sicht des Versicherers.

 

Online Kommunikation

Wie die statische App-Analyse bereits erahnen ließ, ist auch der Bereich der Online Kommunikation nicht frei von potentiellen Schwachstellen. Die erste schwere Auffälligkeit, ist dabei der Fakt, dass der Login-Prozess vollständig über eine ungesicherte http-Verbindung abgewickelt wird. Die dabei übertragenen Daten sind zwar nicht direkt im Klartext lesbar und zumindest auf den ersten Blick verschleiert. Im weiteren Test zeigte sich allerdings, dass der Login sich über einen simplen Replay-Angriff, also die Aufzeichnung des Login-Prozesses und ein „Wiedereinspielen“ zu einem späteren Zeitpunkt, durchführen lässt. Das bedeutet, dass ein Angreifer, selbst wenn er die vermeintliche Verschleierung selbst nicht brechen kann, um an die Login-Daten direkt zu gelangen, trotzdem durch einen relativ simplen Angriff Zugriff auf einen Nutzer-Account erhalten kann.

Abgefangene Login-Informationen; Relevante Daten Base64-codiert in „rqdata“

Außerdem stellten wir im Test eine Kommunikation mit unzähligen verschiedenen Domains fest, bei denen nicht bei allen klar war, zu welchem Zweck hier kommuniziert wird und was an dieser Stelle alles an Daten, an wen übertragen wird. Auch dieser Umstand führt nur weiter dazu, dass man als Nutzer zumindest einen gewissen Argwohn dem Produkt gegenüber aufbaut.

Unverschlüsselter Datenverkehr beobachtet mit Wireshark

 

Datenschutz

Die Datenschutzerklärung der Lenovo Healthy App ist bei Facebook gehostet (Stand 18. Mai 2016) und nur wenig informativ. Die Datenverarbeitung erfolgt in China, weiterhin wurde im Test bemerkt, dass die App mit einer Vielzahl an verschiedenen Domains kommuniziert. In wie weit eine Datenschutzerklärung Gültigkeit besitzt, die in einem sozialen Netzwerk gehostet ist, kann nur eine Rechtsberatung klären – nichtsdestotrotz hinterlässt dies einen sehr faden Beigeschmack.
Da die App außerdem viele Berechtigungen anfordert und sich somit umfangreiche Zugriffsrechte auf die Daten des Nutzers sichert, ohne dass der Grund hierfür in der Datenschutzerklärung vermerkt ist, können wir in puncto Datenschutz leider keine Punkte vergeben.

 

Urteil

Das Lenovo HW01 weist in allen getesteten Bereichen potentielle Schwachstellen auf, die eine praktische Bedrohung für den Nutzer und dessen Daten darstellen können. Eine teilweise unvollständige, fehlerhafte und ungünstige Implementation wichtiger Sicherheitsbereiche innerhalb der Applikationen führen zu einigen kritischeren Lücken im Sicherheitskonzept des Produkts. Insgesamt kann daher lediglich nur knapp 1 Stern in unserem 3-Sterne-Rating vergeben werden.