Satclub-Thueringen (http://www.satclub-thueringen.de/index.php)
- Allgemeines (http://www.satclub-thueringen.de/board.php?boardid=38)
-- Off - Topic (http://www.satclub-thueringen.de/board.php?boardid=26)
--- BSI warnt vor Sicherheitslücken bei Health Wearables (http://www.satclub-thueringen.de/thread.php?threadid=34841)

Geschrieben von Whitebird am 20.04.2025 um 13:22:

Augenzwinkern BSI warnt vor Sicherheitslücken bei Health Wearables

BSI warnt vor Sicherheitslücken bei Health Wearables
Beim Check von zehn Gesundheitstrackern entdeckt das Bundesamt für Sicherheit in der Informationstechnik mehr als hundert Schwachstellen. Besonders erschreckend: Kein Gerät war fehlerfrei.

Von Peter Stelzel-Morawietz
Redakteur, PC-WELT Print 19.4.2025 09:00 Uhr


Unter „Wearables mit medizinischen Teilfunktionalitäten“, wie das BSI die Geräte offiziell kategorisiert, fallen unter anderem Smartwatches, Fitnesstracker und smarte Ringe für den Finger.

Allen gemeinsam ist, dass sie Körperfunktionen analysieren und dabei zum Teil sensible Gesundheitsdaten erfassen und erarbeiten.

Das Bundesamt hat insgesamt zehn besonders marktrelevante Systeme, beruhend auf Verkaufszahlen, Herstellerrelevanz und Aktualität, ausgewählt und exemplarisch für die Produktgruppe auf ihre Sicherheit (.pdf) analysiert.

Um welche Modelle es sich handelt, wurde nicht veröffentlicht.


Alle Geräte haben Schwachstellen

Bei der Überprüfung identifizierten die Prüfer 34 unterschiedliche Schwachstellen, die in den zehn untersuchten Wearables 116 mal auftraten.

Von den insgesamt 116 potenziellen Lücken wurden sechs als „niedrig“ eingestuft, sie fanden sich in fünf Wearables. Weitere neun Schwachstellen in sieben Geräten wurden als „hoch“ klassifiziert.

101 Schwachstellen wurden der Kategorie „mittel“ zugeordnet, „kritisch“ war keine. Das BSI hebt hervor, dass kein Wearable frei von Schwachstellen war.

Sieben der als „hoch“ eingestuften Kritikpunkte betrafen das Bluetooth-Protokoll und damit den Hauptkanal für die Verbindung der smarten Geräte mit den Apps auf dem Smartphone.

Zu den Risiken zählen die Übernahme von Benutzeraccounts mittels Brute-Force-Attacken, das Umgehen der PIN-Eingabe während des Bluetooth-Pairings, das Koppeln ohne Benutzerinteraktion sowie die Verwendung unsicherer Android-SSL-Bibliotheken.

Weil die von den Wearables mit Medizinfunktionen verarbeiteten Daten besonders sensibel seien, müssten die Hersteller die Nutzerdaten besser schützen, fordert das Sicherheitsbundesamt.


Smarte Heizkörperthermostate

Insgesamt etwas besser schnitten smarte Heizkörperthermostate im Rahmen einer weiteren BSI-Studie (.pdf) ab.

Optimierungsbedarf aber gebe es bei der Nutzerfreundlichkeit, beim Produktsupport und beim Umgang der Hersteller mit Schwachstellen, resümieren die Prüfer. Untersucht wurden auch hier zehn Modelle.

Die Analyse ergab, dass ein Großteil der smarten Thermostate durchaus den europäischen Basissicherheitsanforderungen an IoT-Geräte für Verbraucher entspricht: Neun von zehn erfüllten drei Viertel der geprüften Testfälle nach ETSI EN 303 645.

Trotz dieser Konformität seien Risiken bei der Nutzung allerdings nicht auszuschließen.

So wurde bei einem Produkt eine Cross-Site-Scripting-Lücke identifiziert, die genutzt werden kann, um Nutzer über den Webbrowser anzugreifen oder kritische Funktionen in der Bedien-App auszulösen.

Und ein getestetes Produkt baute eine unverschlüsselte Kommunikation mit dem Backend auf, sodass Daten im Klartext übertragen wurden.

Viele dieser Produkte zeichneten sich durch kurze Entwicklungszyklen aus, bei denen die IT-Sicherheit häufig zu kurz komme, warnt das Bundesamt.

Schlecht gesicherte Geräte und Netzwerke böten Cyberkriminellen Angriffsmöglichkeiten, um Informationen wie sensible Daten auszuspähen oder die Geräte für andere kriminelle Zwecke zu missbrauchen.

quelle: pcwelt.de


Forensoftware: Burning Board 2.3.6, entwickelt von WoltLab GmbH