Bundesamt warnt vor Sicherheitslücken bei Wearables

Berlin – Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor Sicherheitslücken bei Wearables mit medizinischen Teilfunktionalitäten. Viele der Geräte seien potenziell anfällig für Angriffe und benötigten Updates seitens der Hersteller.

Das BSI hatte im Rahmen des Projekts „Sicherheit von Wearables mit medizinischen Teilfunktionalitäten“ (SiWamed) zehn Geräte getestet, darunter je drei Smartwatches und Basic Watches, drei Fitnesstracker und einen Smart Ring. Jedes der getesteten Geräte hatte demnach Schwachstellen.

Unter den 113 entdeckten Sicherheitslücken befand sich jedoch keine kritische, die umgehend von den Herstellern behoben werden müsste. 101 Schwachstellen seien der Kategorie „Mittel“ zugeordnet worden, hieß es.

Dabei handele es sich um solche, die laut BSI im Rahmen des regulären Patch-Zyklus der jeweiligen Anwendung behoben werden können. So würden manche Anwendungen beispielsweise veraltete JavaScript-Bibliotheken benutzen oder die Möglichkeit bieten, die PIN-Eingabe während des Verbindens mit Bluetooth zu umgehen.

Neun Schwachstellen auf sieben der zehn Geräte seien der Kategorie „Hoch“ zuzuordnen gewesen, sollten also von den Herstellern sehr kurzfristig behoben werden.

So seien bei zwei Geräten Bluetooth-MITM möglich gewesen. Das heißt, dass Angreifer mit einem Bluetooth-Adapter eine Verbindung mit dem Ziel-Wearable herstellen können und Daten über einen Softwareproxy in die Verbindung zu einem anderen Bluetooth-Adapter leiten können.

Das Opfer verbindet sich dann also unbewusst mit einem vom Angreifer kontrollierten Gerät anstelle seines Wearables. Dabei kann laut BSI die Bluetooth-Kommunikation aufgezeichnet, manipuliert und wiederholt werden.

Wenn Daten unverschlüsselt übertragen werden, habe der Angreifer dann die volle Kontrolle über Sensordaten, SMS, Kontodaten, installierte Apps, Firmware-Update-Dateien und dergleichen.

Sieben der acht als hoch eingestuften Schwachstellen hätten das Bluetooth-Protokoll betroffen, das als Hauptkanal für die Verbindung des tragbaren Geräts mit der mobilen Anwendung dient.

Allerdings hebt das BSI hervor, dass Angriffe auf mobile Geräte in der Regel nur begrenzt möglich seien. Denn für die meisten solcher Angriffe müsse sich der Angreifer in der Nähe des Bluetooth-Geräts oder im selben WIFI-Netz befinden oder physischen Zugang zum Gerät haben.

Insgesamt beträfen die am häufigsten in Wearables gefundenen Schwachstellen die Benutzerauthentifizierung und die Bluetooth-Kommunikation. So fehle in vielen Geräten jegliche Art von Benutzerauthentifizierung, beispielsweise mit einer PIN, oder sie würden über Schwächen in der Implementierung verfügen.

„Hersteller von Wearables mit medizinischen Teilfunktionalitäten stehen in der Verantwortung, die Datensicherheit ihrer Produkte auf höchstem Niveau zu gewährleisten“, zitiert das BSI Florian Hockel, Director Business- and Service-Development Consumer Products bei TÜV SÜD. „Dies erfordert sowohl robuste technische Schutzmaßnahmen als auch regelmäßige Prüfungen durch unabhängige Dritte.“

TÜV SÜD unterstütze Hersteller und Anbieter von Wearables mit medizinischen Teilfunktionalitäten mit umfassenden Test- und Zertifizierungsdienstleistungen wie Penetrationstests und Schwachstellenanalysen, der Evaluierung der Datenverschlüsselung, Konformitätsbewertungsverfahren oder Sicherheitsaudits.

lau