Das Xiaomi Mi Band 2 ist, wie seine Vorgänger Mi Band 1 bzw. 1s, im Einsteigermarkt angesiedelt, bietet aber dennoch viele Möglichkeiten. Ob hier auch an der Sicherheit oder am Datenschutz gespart wurde, haben wir im Rahmen unseres Fitness-Tracker-Tests untersucht.

Lokale Kommunikation

Nach dem ersten Laden kann das Mi Band 2 mit der dazugehörigen App „Mi Fit“ gekoppelt werden. Zur Kopplung ist ein kurzer Druck auf das Display nötig. Im Anschluss führt die App auf dem Mi Band 2 ein Firmware-Update durch. Nach Installation des Updates ist es für andere Bluetooth-Geräte nicht mehr sichtbar, Verbindungsversuche auf die Bluetooth-MAC-Adresse schlagen fehl. Dieses Feature wurde Ende 2017 eingeführt, ist in den Einstellungen als „Erkennbar an/aus“ gekennzeichnet. Sofern man das Mi Band 2 wieder auf sichtbar schaltet, nimmt es auch Verbindungen von beliebigen Geräten entgegen. Da die Bluetooth-Services sprechend benannt sind und Daten unverschlüsselt abgerufen werden können, wäre es für Dritte ein leichtes, die Daten auszulesen. Die Standardeinstellung sollte daher unbedingt belassen werden.

Online-Kommunikation

Die Mi Fit App von Xiaomi kommuniziert stets TLS1.2-verschlüsselt mit Amazon AWS Hosts, hauptsächlich in der EU, vereinzelt aber auch in den USA. Die genutzte Verschlüsselung verhindert einfache Man-in-the-Middle-Angriffe, allerdings wurden sie nicht vollständig verhindert. Da in der App kein Certificate Pinning implementiert ist, könnte ein Man-in-the-Middle Angriff von Erfolg gekrönt sein, sofern der Angreifer auf dem Gerät des Nutzers ein CA-Zertifikat installieren kann. Hierzu wäre allerdings Direkt-Zugriff auf das Smartphone notwendig, weshalb wir dies nicht negativ werten.

TLS1.2 verschlüsselte Internetkommunikation

App

Die Xiaomi Mi Fit App in der Version 3.1.6 ist obfuskiert und erschwert somit Angreifern das Reverse-Engineering der Funktionsweise.  Weiterhin ist eine 2-Faktor-Authentifizierung über die App „Xiaomi Authenticator“ integriert. Neben Apple ist Xiaomi der einzige Hersteller in unserem Test, der dieses Sicherheitsfeature implementiert hat.

In den Appdaten, einem geschützten Bereich, auf den nur die jeweilige App Zugriff hat, wird ein detailliertes Log inklusive relativ einfach ablesbarer Beschreibung der API geschrieben. Dies ist allerdings nur auf gerooteten Geräten gefährlich, weshalb dies in der Wertung nicht negativ betrachtet wird.

Detailliertes Protokoll in Appdaten

Die Funktionsweise der App lässt sich allerdings auch über dieses Protokoll nachstellen. Dies machen sich sicherlich auch andere Entwickler zu Nutze.

Viele weitere Apps für das Mi Band

Datenschutz

In der Xiaomi Mi Fit App ist eine Datenschutzerklärung von Huami, einer Xiaomi-Tochter, hinterlegt. Im Google Play Store wurde hingegen eine Datenschutzerklärung für das Mi Fit Programm von Xiaomi verlinkt.

In unserem Test haben wir uns auf die Datenschutzerklärung der App konzentriert und empfehlen dem Hersteller die dringende Änderung des Links im Google Play Store.
Sie ist leicht verständlich geschrieben und in mehreren Sprachen verfügbar. Weiterhin ist sie unserer Erkenntnis nach auf die aktuellen Datenschutzgesetze abgestimmt. Die aufgezeichneten Daten werden sehr detailliert aufgeschlüsselt. Personenbezogene Daten werden beispielsweise für zielgruppenorientierte Werbung genutzt.

Mit der App des Herstellers selbst ist keine reine Offline-Nutzung ohne Datensynchronisation möglich. Es gibt allerdings einige Drittanbieter-Apps, die dies anbieten.

Fazit

Das Xiaomi Mi Band 2 ist ein im Einsteigerbereich angesiedelter Fitnesstracker, der in unserem Test mit aktueller Firmware mit unverschlüsselter Bluetooth-Kommunikation, aber stets verschlüsselter Internetkommunikation aufwartete. Die Bluetooth-Kommunikation ist im Standard vor anderen Geräten unsichtbar, wir würden uns dennoch aber eine verschlüsselte Kommunikation samt sicherer Authentifizierung wünschen. Hinsichtlich Datenschutz verarbeitet Xiaomi über den Fitnesstracker viele Daten, welche unter Anderem auch zu Werbezwecken genutzt werden.