Die in den USA ansässige Firma Moov vertreibt unter dem Produktnamen Moov Now einen mit 15,1 Gramm sehr leichten Fitnesstracker. Dieser ist nicht als alltäglicher Schrittzähler, sondern hauptsächlich für Sportaktivitäten ausgelegt und konzipiert.
Lokale Kommunikation
Die Kopplung zwischen Smartphone und Moov Now erfolgt durch langes Drücken des Trackers. Nach einem kurzen Authentifizierungsprozess ist der Fitnesstracker einsatzbereit. Das Gerät an sich besteht laut unseren Erkenntnissen aus einem Gyroskop, dessen Daten via Bluetooth an die App geschickt und dort ausgewertet werden. Dies erklärt auch die kleine, leichte Bauform des Geräts.
Im Anschluss an die Authentifizierung erhält die App über einen Notification Service die Echtzeitdaten des Gyroskops und wertet diese aus, errechnet beispielsweise die Schrittanzahl.
Der benutzte Authentifizierungsprozess ist statisch und kann relativ einfach nachgestellt werden. Somit wäre es Angreifern mit einfachen Mitteln möglich, die Gyroskopdaten mitzuschneiden. Das Angriffsszenario wird allerdings dadurch abgeschwächt, dass diese Daten dann ebenfalls vom Angreifer entsprechend verarbeitet werden müssten. Weiterhin müsste der Zeitpunkt abgepasst werden, in dem der Besitzer des Geräts selbst per Druck auf den Tracker ein Training aktiviert.
Online-Kommunikation
Die Kommunikation zwischen der Moov App und der Cloud war stets TLS1.2 verschlüsselt und somit gegen einfache Man-in-the-Middle Angriffe geschützt. Auch die Registrierung und das Firmwareupdate waren identisch verschlüsselt.
Nach Installation eines CA-Zertifikats kann die Kommunikation durch einen Man-in-the-Middle-Angriff belauscht und manipuliert werden. Hierfür ist allerdings direkter Gerätezugriff erforderlich, weshalb dieser Punkt nicht negativ gewertet wird. Für die Kommunikation zwischen App und Cloud wird ein Session Key erzeugt (X-Moov-API-Session), welcher danach für jede Datenübertragung an die Cloud genutzt wird.
App
Die Moov Android App (Version 5.0.2548) ist teilweise obfuskiert, sodass eine Rekonstruktion der App erschwert wird.
Eine Implementation von Certificate Pinning wird empfohlen, um Man-in-the-Middle Angriffe zu verhindern. Weiterhin wird empfohlen, die Implementation von Drittanbietermodulen zu prüfen, da das implementierte Baidu-Modul laut statischer Analyse Schwachstellen enthält.
Die App erzeugt während des Betriebs ein Protokoll, welches auch den oben benannten Session Key im Klartext enthält. Da sich dieses aber im geschützten App-Bereich befindet, und somit nur auf gerooteten Smartphones ausgelesen werden kann, führt dies nicht zu einer Abwertung.
Datenschutz
Die Datenschutzerklärung von Moov informiert über die aufgezeichneten Daten, lässt aber einige Fragen offen. So ist es beispielsweise unklar, ob Daten in anonymisierter Form weitergegeben werden, welche als „persönliche Daten, die keine Identifizierung ermöglichen“ bezeichnet sind. Da hierzu auch die Lokalisierung zählt, wird angezweifelt, dass mit Hilfe dieser Informationen keine Identifizierung erfolgen kann.
Die Datenverarbeitung finden in den USA statt, allerdings fehlen Informationen darüber, welche Daten vom Fitnesstracker genau gesammelt werden. Ein Datenverkauf findet laut der Datenschutzerklärung aber nicht statt.
Fazit
In Bezug auf die Bluetooth-Kommunikation zwischen Moov Now und der dazugehörigen App bestehen Angriffsmöglichkeiten, die allerdings vermutlich nur geringes Schadenspotential haben. Die Onlinekommunikation war zu jeder Zeit verschlüsselt, weiterhin wird ein Verkauf von Daten durch die Datenschutzerklärung klar ausgeschlossen. Das allgemeine Sicherheitsniveau und Datenschutzlevel wird im Rahmen unseres Fitness-Tracker-Tests daher mit zwei Sternen bewertet.