Das kompakte Bluetooth-Blutdruckmessgerät Braun iCheck® 7 bietet neben der direkten Bewertung der Blutdruckwerte auch eine Historie der letzten Messungen in der App.
Gerade im eHealth-Bereich werden viele sensible Daten aufgezeichnet, die nach Stand der Technik zu schützen sind. Aus diesem Grund setzen wir uns umso kritischer mit der Sicherheit des Geräts und der dazugehörigen App sowie den Datenschutzbestimmungen auseinander. Wie es um die Sicherheit und den Datenschutz vom Braun iCheck® 7 bestellt ist, erfahren Sie im folgenden Testbericht.
Die frühere Braun GmbH wurde bereits 1967 an The Gilette Company in die USA verkauft, welche im Jahr 2005 von einem anderen US-Konzern, Procter & Gamble, übernommen wurde. Die Marke Braun wird heute von verschiedenen Unternehmen genutzt, im Fall des Blutdruckmessgeräts iCheck® 7 von der US-Firma Helen of Troy.
Features / Technische Daten
Die zum Blutdruckmessgerät gehörende App, Braun Healthy Heart (Android 4.4+, iOS 10+), bietet neben der Historie von Blutdruckmessungen auch eine direkte Bewertung in den Kategorien normal, leicht erhöht, erhöht und stark erhöht an. Zu niedriger Blutdruck wird von der App allerdings als „normal“ eingestuft.
Weiterhin erlaubt sie die Eingabe von Informationen zu Schlaf, Sport, Ernährung, Stimmung sowie Medikamenteneinnahme und erstellt hierauf basierend eine Analyse. Blutdruckdaten können exportiert und per Mail geteilt werden, weiterhin ist auf Apple-Geräten die Integration in Apple Health möglich. Erinnerungen an die Blutdruckmessung oder Medikamenteneinnahme sind ebenfalls möglich.
- Modell: BPW 4500
- Messverfahren: Oszillometrisch
- Display: OLED-Display
- Blutdruckmessbereich: 40 ~ 255 mmHg
- Pulsmessbereich: 40 ~ 199 Schläge/Minute
- Kalibrierungsgenauigkeit: Blutdruck: +/- 3 mmHg
- Puls: +/- 4% des Messwerts
- Aufpumpen/Ablassen: Automatisch
- Speicherkapazität: Bis zu 100 Messwerte
- Manschettengröße: Passend für Handgelenkumfang: 12,5 – 21 cm (4.9 – 8.3 in.) min./max.
- Betriebstemperatur: +10 °C ~ + 40 °C, unter 85 % R.F. nicht kondensierend
- Lagertemperatur: -20 °C ~ +55 °C, unter 85 % R.F. nicht kondensierend
- Gewicht des Gerätes: Ca. 125 g (ohne Batterien)
- Stromversorgung: Alkali-Batterien: 2 x AAA (LR3) 1,5 V
- Automatische Abschaltung: Ca. 60 Sekunden
- Lebensdauer: 5 Jahre
- Drahtlose Kommunikation: Bluetooth® Smart
- Frequenzbereich: 2,4-GHZ-ISM-Band (2400 – 2483,5 MHz)
- Modulation: GFSK
- Effektive Strahlungsleistung: < 20 dBm
Quelle: Braun
Lokale Kommunikation
Die Kommunikation zwischen App und iCheck® 7 findet über Bluetooth LE statt. Nach einer Registrierung und der anschließenden Kopplung mit dem Gerät werden ggf. bestehende Messungen auf das Smartphone übertragen.
Die Bluetooth-Übertragung an sich findet unverschlüsselt statt, weiterhin ist das Messgerät während des Betriebs für andere Bluetooth-Geräte sichtbar und erfordert keine Authentifizierung, um ggf. Werte auszulesen. Diese beinhalten nicht nur Firmware-Version oder Seriennummer des Geräts, sondern auch die Messwerte, wie im folgenden Screenshot zu sehen.
Die unverschlüsselte Übertragung birgt aufgrund der geringen Reichweite von Bluetooth aber ein eher geringes Angriffsrisiko, da Angreifer sich zum Zeitpunkt der Messung in der unmittelbaren Umgebung (2-3 Meter Radius) aufhalten müssen. Wir empfehlen dem Hersteller dennoch, neben der Implementation einer Authentifizierung zwischen App und Messgerät, das Gerät nach erfolgter Kopplung zusätzlich in den unsichtbaren Modus zu schalten, sodass Drittgeräte das iCheck® 7 gar nicht erst entdecken können.
Online-Kommunikation
Die Internetkommunikation findet ausschließlich in die USA statt, ist stets TLS1.2-verschlüsselt und somit gegen einfache Angriffe abgesichert. Für die Registrierung und das Hochladen aktueller Messwerte wird https://api.kaz.com aufgerufen, welche (Stand 08.07.2019) ein sowohl seit April 2019 abgelaufenes, als auch für eine gänzlich andere Domain (*.pur.com) ausgestelltes Zertifikat ausgibt. Somit müsste die Kommunikation eigentlich abgebrochen werden, da ungültigen Zertifikaten nicht vertraut werden kann. Die App kommuniziert allerdings trotz dieses Fakts mit dem Server, ohne diesen Punkt zu beachten.
Aus technischer Sicht ist diese Art der Lösung zumindest verwunderlich, verschlüsselt die Kommunikation aber effektiv. Ein Man-in-the-Middle Angriff war in unserem Test erst möglich, nachdem wir das zum Proxy gehörende CA-Zertifikat auf dem Smartphone installiert hatten. Hierfür benötigt der Angreifer allerdings direkten Zugriff zum Gerät, daher wird dies im Test nicht negativ gewertet.
Weiterhin werden vom Benutzer installierte Zertifikate seit Android 7.0 nur von Apps beachtet, wenn der App-Entwickler dies explizit vorsieht (Eintrag in der Manifest-Datei). Hierdurch werden Man-in-the-Middle Angriffe wirksam erschwert. Da aber immer noch über 40% aller Geräte eine ältere Android-Version als 7.0 nutzen (Quelle: Statista, Stand 08.07.2019), empfehlen wir als optionale Sicherheitsmaßnahme die Implementation von Certificate Pinning.
App
Die statische Analyse der Braun Healthy Heart Android app (Version 2.1.4) offenbarte keine offensichtlichen Sicherheitslücken. Sie ist seltsamerweise nicht durch Helen of Troy/KAZ signiert, sondern von New Potato Technologies, USA. Dies erzeugt den Eindruck einer etwas heterogenen Lösung.
Die Daten der App werden in den Appdaten in einer unverschlüsselten SQLite Datenbank gespeichert. Auf gerooteten Smartphones können diese Daten ggf. ausgelesen werden, im Normalfall ist dieser Speicherort aber unbedenklich und nicht von anderen Apps auslesbar. Da die gespeicherten Daten einen sehr detaillierten Einblick in die Gesundheit des Benutzers ermöglichen können, empfehlen wir dem Hersteller, als zusätzliche Sicherheitsmaßnahme eine verschlüsselte Speicherung zu implementieren.
Neben der Kommunikation zu Google Firebase und Crashlytics konnte nur Kommunikation zur Domain api.kaz.com festgestellt werden. Letztere wird zur Registrierung und zum Upload von Messungen genutzt, die App besitzt aber keinerlei Möglichkeit des Downloads von in der Cloud gespeicherten Daten. Der Wechsel des Smartphones bedeutet in dem Fall folglich Datenverlust bzw. manuellen Aufwand (Sicherung via Mail, manuelles Nachtragen in der neuen App)
Wie im vorherigen Testteil bereits benannt, wird von der App das eigentlich ungültige API-Zertifikat akzeptiert. Der Hersteller sollte in dem Punkt nachbessern und sowohl das Zertifikat erneuern, als auch dessen Validierung in der App überarbeiten.
Datenschutz
Da durch die App sensible Gesundheitsdaten aufgezeichnet werden, die in ihrer Gesamtheit nicht nur einen Einblick in die Lebensweise des Benutzers, sondern auch in dessen Krankheitshistorie und Medikamenteneinnahme ermöglichen, muss im Umgang hiermit verstärkt auf den Datenschutz und die korrekte Behandlung dieser Daten geachtet werden. Im folgenden Teil beziehen wir uns auf die Datenschutzerklärung der Braun Healthy Heart App mit Stand 12.02.2018.
Beim ersten Öffnen der App wird über die API ein AccessToken erzeugt, über das künftig jede Kommunikation zum Server authentifiziert wird. Eine Anmeldemöglichkeit mit Passwort gibt es nicht, es werden aber dennoch der volle Name, das Geschlecht, das Geburtsdatum und die Mailadresse abgefragt.
Eine Altersprüfung findet im Rahmen der Registrierung nicht statt, auch Geburtsdaten <1 Jahr können angegeben werden. Da die Daten von Kindern, beispielsweise im Rahmen der DSGVO (siehe Artikel 8) besonders schützenswert sind, empfehlen wir die Implementation einer Altersprüfung und die Verweigerung des Betriebs bei zu geringem Alter.
Die bei der Registrierung eingegebenen Daten werden weiterhin laut Datenschutzerklärung nicht im Rahmen der Blutdruckmessung oder der Gesundheitsdatenanalyse verwendet, sondern unter anderem zu Werbezwecken mit Partnern geteilt, sofern dies im Rahmen der Registrierung erlaubt wurde. Ein späterer Widerspruch ist in der App selbst nicht möglich.
Die von der App aufgezeichneten Daten werden seitens des Herstellers anonym für das Verwalten, Verbessern und Weiterentwickeln der Produkte, Dienstleistungen etc. genutzt. Warum die Übertragung der Gesundheitsdaten trotzdem an eine Registrierung und somit an eine Person gebunden ist, wird nicht deutlich. Die DSGVO setzt bei der Datenspeicherung eine Beschränkung auf ein notwendiges Maß (vgl. Art. 5, Stichwort Datenminimierung) voraus. Wir empfehlen dem Hersteller daher, die Nutzung der App ohne Registrierung bzw. unter Eingabe nur unbedingt notwendiger Angaben zu ermöglichen.
Sämtliche Daten werden in den USA, unter anderem auf Servern von Amazon, gespeichert und verarbeitet. Amazon nimmt zwar am EU-US Privacy Shield teil, allerdings gewährleistet dieses Schutzschild nicht zwingend die Behandlung der Daten nach aktuellem EU-Recht (siehe europa.eu). Aus diesem Grund empfehlen wir dem Hersteller, die Speicherung, wie bei anderen eHealth-Produkten durchaus üblich, auf dem Kontinent des Benutzers vorzunehmen. In Bezug auf die Speicherdauer von Daten würden wir uns außerdem eine spezifischere Aussage als „nicht länger als notwendig“ wünschen, insbesondere in Bezug auf die aufgezeichneten Gesundheitsdaten.
Noch vor dem Akzeptieren der Nutzungs- und Datenschutzbedingungen wurde von uns eine Datenkommunikation mit Crashlytics (USA) festgestellt. Dies sollte zeitnah behoben werden, da sonst ohne Einwilligung persönliche Daten mit fremden Unternehmen geteilt werden, was rechtliche Konsequenzen nach sich ziehen kann. Weiterhin ist die Datenschutzerklärung nur aus der App, nicht aber auf der Herstellerseite selbst zu finden. Auf dieser ist nur die Datenschutzerklärung der Website an sich vorhanden.
Fazit
Das Bluetooth-Blutdruckmessgerät Braun iCheck® 7 weist in der Bluetooth-Kommunikation Schwachstellen auf. Für einen erfolgreichen Angriff müsste man sich allerdings während der Messung innerhalb weniger Meter Entfernung zum Gerät befinden, daher ist das Risiko für den Besitzer eher gering. Wir empfehlen dem Hersteller, diese Lücken dennoch zeitnah zu schließen. In puncto Internetkommunikation und Datenschutz gibt es ebenfalls Baustellen, die bearbeitet werden sollten.
Aus diesem Grund bewerten wir dieses Gerät in Kombination zur Braun Healthy Heart App mit zwei von drei möglichen Sternen.