image

Onderzoekers hekelen beveiliging fitnesstrackers

maandag 22 juni 2015, 10:11 door Redactie, 8 reacties

Fitnesstrackers die bijvoorbeeld het aantal stappen of andere activiteiten bijhouden zijn tegenwoordig erg populair, maar de beveiliging van sommige modellen schiet zo te kort dat consumenten er verstandig aan doen om ze niet te gebruiken. Dat stellen onderzoekers van het Duitse testlab AV-Test.

Het testlab bekeek deze maand negen modellen van Acer, FitBit, Garmin, Huawei, Jawbone, LG, Polar, Sony en Withings. Zo werd er naar de gebruikte Bluetooth-implementatie gekeken, bijvoorbeeld of het kon worden uitgeschakeld, er een bevestiging nodig was voor het pairen met andere Bluetooth-apparaten en of de tracker na het pairen altijd zichtbaar was. Daarnaast werd er gekeken of de uitwisseling van data tussen de fitnesstracker en smartphone veilig gebeurt en of er veilig verbinding met de cloud wordt gemaakt.

Hoewel een fitnesstracker op het eerste gezicht misschien geen interessant doelwit lijkt, kunnen fitnessgegevens zeer waardevol zijn, aldus de onderzoekers. "In de VS komen mensen die via de tracker hun goede gezondheid aantonen in aanmerking voor een lagere premie. Wat weerhoudt iemand om de data van hun buurman of buurvrouw te gebruiken? De mensen die bekend zijn met wat er in de VS aan zorgpremies wordt betaald zien de potentie die dit criminelen kan bieden", zo merken ze op.

Eindoordeel

Als het gaat om de beoordeelde veiligheidsonderdelen schieten vooral de Acer, FitBit en LG te kort. De Sony komt als beste uit de test, gevolgd door de Polar. "De andere fitnesstrackers scoren lager op hun beveiliging en daarom hoger in de risicobeoordeling", aldus de conclusie. Het product dat de grootste kans op een succesvolle aanval loopt is de Acer Liquid Leap, zo merken de onderzoekers op.

Maik Morgenstern, CTO van AV-Test, hekelt het feit dat bij het ontwerp van de fitnesstrackers, net als bij veel andere onderdelen van het Internet of Things, security weer achteraf komt en niet vanaf het begin is meegenomen. Hij roept fabrikanten dan ook op om maatregelen te nemen. "Omdat fitnesstrackers een grote rol binnen de zorgverzekeringen en verzekeringsmaatschappijen zullen spelen, is het noodzakelijk dat leveranciers hun veiligheidsbeleid aanpassen en verbeteren."

Image

Reacties (8)
22-06-2015, 10:24 door Anoniem
Omdat fitnesstrackers een grote rol binnen de zorgverzekeringen en verzekeringsmaatschappijen zullen spelen, is het noodzakelijk dat leveranciers hun veiligheidsbeleid aanpassen en verbeteren.

Vertaling: als uw fitnesstracker onvoldoende beveiligd is kunt u uw zorgverzekeraar te gemakkelijk bedriegen met valse gezondheidsdata. Maakt u zich geen zorgen want er verandert niets, uw privacy is nog steeds van secundair belang.

Ligt dat nu aan mij of ben ik een aansteller als ik de Big Brother koude rillingen krijg bij het idee van zorgverzekeraars die eisen dat je 24 uur per dag een gezondheidsmonitor draagt (en dus zelfs kunnen nagaan wanneer je seks hebt)?
22-06-2015, 10:40 door Anoniem
Tja, en bij de volgende hype binnen IoT roepen we weer hetzelfde. Zolang er geen hoge boetes of andere prikkels komen op onveilige producten zal er niks veranderen.
22-06-2015, 10:50 door johanw
Je kunt het ook omdraaien: als zorgverzekeraars dit soort dingen gebruiken om je een hogere premie aan te naaien is het juist prima als die protocollen makkelijk te spoofen zijn en ik een tooltje kan laten lopen om de verzekering te zeggen dat ik aan het joggen ben als ik op de bank lig.
22-06-2015, 11:34 door Anoniem
Door johanw: Je kunt het ook omdraaien: als zorgverzekeraars dit soort dingen gebruiken om je een hogere premie aan te naaien is het juist prima als die protocollen makkelijk te spoofen zijn en ik een tooltje kan laten lopen om de verzekering te zeggen dat ik aan het joggen ben als ik op de bank lig.

Hahaha, ja precies!

ZorgverzekeRAARS die dergelijke toegang willen tot je privacy moeten zelf "genaaid" worden, of gewoon worden verboden.
Kan me nauwelijks meer inbreuk op je privacy voorstellen dan dit. Dus blijf vooral brakke beveiliging in die spullen stoppen, zodat we de boel terug kunnen bedriegen.

:-)
22-06-2015, 11:57 door Tubamaniak
Gewoonlijk komt beveiliging achterop bij producten omdat beveiligen geld kost.
Managers willen geen geld uitgeven waar ze naar hun beperkte denkvermogen geen geld aan verdienen.
Zodra er iets "leuks" is bedacht, wordt daarom niet zelden de eerste versie vermenigvuldigd en op de markt geflikkerd.
Want je moet voorop lopen en je product ook nog moeten beveiligen kost niet alleen geld, maar ook veel te veel tijd.
Ik heb ze hier regelmatig aan het bureau, die managers die zeggen : doe maar even tijdelijk.
En dat is dan gewoonlijk de permanente K** oplossing. Voorbij gaande aan alle regels die ze zelf hebben opgesteld, waar alle andere aanvragers zich aan moeten houden. Als managers onder druk staan gelden alle regels opeens niet meer. Walchelijk.....
22-06-2015, 12:07 door Anoniem
Wat dacht je van GPS horloges en fietscomputers? Ik kreeg zo'n 3 jaar geleden mijn 1e GPS fiets computer een Bryton 50 of zoiets en ik struinde een beetje de Bryton Sports site af en kon vrijwel van iedere geupload resultaat het exacte adres + naam bewoner achterhalen via Google Maps/Streetview en de telefoongids. Dat was voor mij de reden om de computer pas een km of 2 na vertrek en voor aankomst aan cq uit te zetten. Hoe veel gegevens wil je van jezelf ter beschikking stellen uiteindelijk?
Fietsen met een GPS is verdomd handig maar je moet wel ff uitkijken of je, als je het resultaat van een rit wilt publiceren, of je dan vanaf je eigen voordeur wil starten en stoppen of dat je dat vanaf een ander willekeurig punt wil doen.
22-06-2015, 14:45 door waaromdan
"Omdat fitnesstrackers een grote rol binnen de zorgverzekeringen en verzekeringsmaatschappijen zullen spelen, is het noodzakelijk dat leveranciers hun veiligheidsbeleid aanpassen en verbeteren."

Pas als het eigenbelang van de verzekeraar in het geding komt ja, het privacybelang van de klant doet niet ter zake.
23-06-2015, 23:23 door Anoniem
Door johanw: Je kunt het ook omdraaien: als zorgverzekeraars dit soort dingen gebruiken om je een hogere premie aan te naaien is het juist prima als die protocollen makkelijk te spoofen zijn en ik een tooltje kan laten lopen om de verzekering te zeggen dat ik aan het joggen ben als ik op de bank lig.

Of ietwat analoger - de buurt atleet die als bijverdienste z'n rondjes loopt met tien trackers om elke arm ...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.