Fitnesstrackers bieden het gemak dat je altijd weet hoe actief je bent geweest. Maar daarvoor moet je de maker van zo’n fitnesstracker wel toegang geven tot allerlei privacygevoelige informatie.
De fitnesstracker weet waar je bent, dankzij ingebouwde GPS of door verbinding te maken met de GPS van je smartphone. De fabrikant weet je hartslag, hoe gestresst je bent en hoe goed je slaapt. Kun je die data toevertrouwen aan een fitnesstracker, of gaat de fabrikant er erg slordig mee om? Dat blijkt uit een onderzoek van AV-Test, een onderzoekslab dat al jarenlang bekend staat om de antivirustests die ze uitvoeren. Nu hebben ze ook de beveiliging van fitnesstrackers onder de loep genomen. Na de hack bij MyFitnessPal, waardoor accountgegevens van 150 miljoen gebruikers op straat lagen, is het onderwerp actueler dan ooit.
Eerst het geruststellende nieuws: de bestverkochte modellen Apple Watch Series 3 en Fitbit Charge 2 bleken de test probleemloos te doorstaan. Ook de fitnesstrackers van Huawei, Garmin, Nokia, Samsung, TomTom en Jawbone bleken veilig genoeg te zijn. De Lenovo HW01 bleek echter niet veilig. Op zich is dat geen probleem, want dit model is toch bijna nergens verkrijgbaar.
Afraders: Medion en Moov
AV-Test testte hoe fabrikanten de data van de fitnesstracker naar de smartphone stuurde en vervolgens doorstuurde naar de online servers. Gebeurt dit wel beveiligd? En laten ze misschien steken vallen? Het bleek dat 9 van de 13 trackers alleen data naar een vertrouwd sturen, oftewel je eigen smartphone. Bij 4 andere trackers ontdekten de onderzoekers beveiligingsgaten. De Medion Life S2000 (verkocht via Aldi) vroeg geen authenticatie en verzond de data onbeveiligd via een draadloze verbinding. Dit zijn twee grote fouten.
De Moov Now-tracker kan data versturen via Bluetooth door op een koep te drukken, maar iedereen kan na het drukken op de knop verbinding maken met het apparaat, zonder verdere controle. Ook hierbij was de data-overdracht niet versleuteld.
AV-Test keek ook hoe goed de bijbehorende app en de online opslag zijn beveiligd. Bij Xiaomi, Moov en Medion krijg je reclame in de app te zien, waardoor ze minder hoog scoorden. De reclames zijn daarbij niet meteen het probleem, maar het feit dat er voor reclame bepaalde onderdelen in de code moeten worden opengezet voor externe partijen, wat de kans op een hack of ongewenst aftappen vergroot. “Deze modules horen niet in apps voor fitnesstrackers” vonden de onderzoekers.
Om met een goed gevoel te eindigen: uit de gebruikersvoorwaarden van alle trackers blijkt dat bijna elke fabrikant ervoor zorgt dat externe partijen niet zomaar je data kunnen raadplegen, zonder dat je daarvoor toestemming hebt gegeven. De uitzondering in dit geval was Lenovo. Deze fitnesstrackers maken tijdens het gebruik verbinding met onbekende externe partijen. Ook bewaart Lenovo data op Facebook-servers. Niet kopen dus, die Lenovo HW01.