Un laboratorio de pruebas comprueba si los brazaletes de fitness guardan y transmiten los datos registrados de sus usuarios de forma segura. El resultado es aleccionador, sólo un dispositivo es realmente recomendable, algunos son espantosamente inseguros.
Muchos atletas recreativos ahora usan pulseras de fitness para optimizar su entrenamiento. Los aparatos registran, entre otras cosas, las distancias recorridas, los tiempos de sueño y descanso y determinan el consumo calórico. Algunos de ellos también pueden medir el pulso. Estos son datos íntimos y deben ser protegidos por los brazaletes y servicios asociados.
Indice
Los brazaletes de fitness guardan y transmiten los datos registrados
El laboratorio de pruebas AV-Test independiente ha probado nueve seguidores de fitness que funcionan con teléfonos inteligentes Android. Los auditores descubrieron que muchos fabricantes son demasiado informales con la protección de datos. Los productos probados: Acer Liquid Leap, FitBit Charge, Garmin Vivosmart, Huawei TalkBand B1, Jawbone Up24, LG Lifeband Touch FB84, Polar Loop, Sony SmartBand Talk SWR30 y Withings Pulse O.
En el primer paso, se instalaron las aplicaciones de evaluación de datos de fitness en los smartphones de prueba. A continuación, todas las pulseras se emparejaron con el smartphone Android mediante la comunicación Bluetooth, tal y como se describe en la descripción correspondiente. Algunos de los dispositivos tenían que estar codificados con PIN, pero para algunos dispositivos basta con un simple «»OK»».
Los probadores encontraron que el PIN requerido para un atacante está prácticamente incluido en la entrega de una pulsera. AV-Test no quiere nombrar al fabricante, pero le ha informado. Cinco rastreadores permanecen visibles para otros dispositivos después de emparejarse con el smartphone, es decir, también para los atacantes.
En el siguiente paso, se comprobó si los brazaletes sólo se comunican con aplicaciones autenticadas, o si ofrecen su información a cada aplicación. La FitBit Charge sorprendió a los probadores: cada smartphone con Bluetooth es bienvenido a la pulsera fitness. No pide un PIN u otra autenticación – simplemente se conecta y voluntariamente transfiere todos sus datos. Estos no están encriptados ni protegidos de ninguna otra forma.
Los productos de Jawbone y Huawei
Los productos de Jawbone y Huawei permiten compartir los datos recogidos. Cada dispositivo emparejado que tenga la aplicación correcta recibirá automáticamente los últimos datos de fitness.
El siguiente punto débil es la propia aplicación. Los atacantes primero miran el código del programa. Si la aplicación está correctamente programada, el código es «»velado»» con herramientas estándar. Sólo de esta manera se puede dificultar efectivamente una réplica de la aplicación. Tampoco se permite que la información de «»log»» o «»debug»» sea entregada con una aplicación terminada, porque con esta información el método de trabajo de la aplicación puede ser fácilmente comprendido. Polar y LG se están debilitando aquí.
Con el brazalete de Acer, los probadores pudieron recuperar toda la información con una aplicación «»casera»». Incluso podrían manipular y restaurar algunos de los datos. Positivo: Las aplicaciones del fitness tracker siguen los últimos estándares de seguridad al transferir datos a Internet.
La conclusión de AV-Test: A pesar de las posibilidades de mejora, la banda inteligente de Sony Talk SWR30 y Polar Loop tienen los conceptos de seguridad más sólidos, los rastreadores de Sony sólo tienen una pequeña debilidad. El brazalete con mayor probabilidad de éxito es el Salto Líquido Acer.