Wenn unter dem Namen des Elektronikriesen Nokia ein Fitness-Tracker vertrieben wird, und dieser auch noch Teil eines ganzen Health- und Fitness-Sortiments ist, ist das für uns Grund genug die Steel HR einmal mehr genau unter die Lupe zu nehmen. In früheren Tests hatten wir bereits Produkte des Herstellers Withings, der demnächst wieder losgelöst von Nokia eigenständig als Marke auftreten wird, und können dementsprechend auch an dieser Stelle wieder Vergleiche anstellen und die sicherheitstechnische Entwicklung einschätzen. Der folgende Bericht soll zeigen inwiefern sich dort etwas getan hat.
Applikationssicherheit
Die statische Untersuchung der mobilen Applikation (com.withings.wiscale2; getestete Version 3.5.3) lieferte im ersten Schritt der Untersuchung eine relativ lange Liste von möglichen Schwachstellen und Problemen. Auch beim Nokia werden dabei hauptsächlich Schwächen in der Implementation der SSL geschützten Verbindungen vermutet – So gibt es Anzeichen dafür dass bei der Zertifikatsvalidierung einige wichtige Zertifikatsinformationen (wie beispielsweise der CN – Common Name) nicht überprüft werden und somit Angriffsfläche für Man-in-the-Middle-Angriffe mit gezielt erzeugten Zertifikaten bietet. Diese Vermutungen wurden dann in praktischen Tests überprüft.
Abgesehen davon macht die Applikation allerdings einen soliden Eindruck: Der Quellcode ist durch eine adäquate Obfuscation verschleiert, sensible Informationen werden nur in den durch Android abgesicherten App-Speicherbereichen abgelegt und auch sonst ergeben sich bei der Untersuchung keine offensichtlichen potentiellen Informationsquellen für etwaige Angreifer.
Lokale Kommunikation
Die Kommunikation zwischen Nokia Tracker und der dazugehörigen Applikation läuft natürlich auch in diesem Fall über Bluetooth LE ab. Besonders wichtig für uns in diesem Punkt ist, dass die Kommunikation dabei möglichst verschlüsselt abläuft und in jedem Fall eine Authentifizierung durchgeführt wird, bevor irgendwelche Daten über diesen Kanal übertragen werden. In beiden Punkten erscheint das Activité nicht vollständig souverän. Zwar sind sowohl Verschlüsselung als auch Authentifizierung implementiert, in beiden Punkte gibt es aber Stellen, an denen wir zumindest eine theoretische Angreifbarkeit vermuten. So konnten wir bestimmte Teile der Kommunikation rekonstruieren, die zumindest nicht vollständig verschlüsselt erscheinen. Im Test konnten wir allerdings keine direkte Möglichkeit identifizieren, um diesen Umstand auszunutzen. Auch sensible Daten konnten auf diesem Weg nicht ausgelesen werden, sodass es in diesem Fall auch nicht zu einer Abwertung kommt. Die Nutzung der Bluetooth LE Privacy Features, durch die das 3rd Party Tracking des Gerätes (zum Beispiel durch dynamische Änderung der Bluetooth MAC) verhindert werden soll, fällt außerdem positiv auf und ist noch immer nicht bei allen getesteten Geräten Standard.
Online Kommunikation
In den praktischen Tests erweist sich das Activité und die dazugehörige Applikation durchaus als solide. Der absolute Großteil der beobachteten Verbindungen ist dabei adäquat durch TLS 1.2 abgesichert und auch unsere standardmäßigen Man-in-the-Middle-Angriffe konnten keine offensichtliche Schwachstelle ausmachen, auch wenn die in der statischen Analyse gesammelten Ergebnisse zumindest theoretische Angriffspunkte in der Zertifikatsvalidierung vermuten lassen – Bestätigt werden konnten diese allerdings nicht.
Was relativ auffällig ist, sind die vielen Verbindungen zum Zwecke der Analytik- und User-Behavior-Erfassung. Dabei werden Daten unter anderem an Google Analytics, Amplitude und AppsFlyer übertragen, nicht in allen Fällen über HTTPS aber zumindest immer anderweitig verschleiert.
Datenschutz
Aufgrund der neuen Datenschutzgrundverordnung (DSGVO) haben wir die Datenschutzerklärungen im Rahmen unseres Fitness-Tracker-Tests erneut geprüft. In der Regel waren sie deutlich ausformulierter und detaillierter. Im Falle von Nokia trifft dies leider nicht zu. In der letzten Datenschutzerklärung vom Stand 20. Juni 2017 sind beispielsweise noch Informationen darüber enthalten, zu welchem Zweck Daten gesammelt werden. In der aktuellen Version vom 24. Mai 2018 ist dies nicht mehr der Fall. Wir vermuten, dass es sich hierbei um ein Versehen handelt – die vorherige Datenschutzerklärung war unserer Einschätzung nach vorbildlich, wie auch in den anderen Blogposts zu Nokia Health Produkten, wie dem Nokia BPM+ ersichtlich ist.
Urteil
Das Nokia bzw. Withings Steel HR und die dazugehörige Applikation erwecken insgesamt einen sehr soliden Eindruck. Natürlich kann an einigen Stellen zumindest theoretisch über etwaige Schwachstellen spekuliert werden, aber das praktische Sicherheitsniveau dieses Produktes ist nach wie vor als hoch einzustufen. Die scheinbar relativ umfangreiche Erfassung von Informationen zum beispielsweise Nutzerverhalten halten wir für zumindest bedenklich und möchte die Notwendigkeit davon anzweifeln. Nichtsdestotrotz rechtfertigen die aufgeführten Punkte keine Abwertung in einem der relevanten Sicherheitsbereiche und die Nokia Steel HR kann somit mit der vollen 3-Sterne-Wertung versehen werden.