Fitness-App: Datenpanne könnte Mitarbeitern sensibler Bereiche schaden

Tim Berghoff kommentiert aktuelle Entdeckung einer Schwachstelle

[datensicherheit.de, 10.07.2018] Die Fitness-App „Polar Flow“ des gleichnamigen finnischen Herstellers gebe mehr Daten preis als sie sollte. Laut Erkenntnissen von Experten könnten über die maschinenlesbare Schnittstelle (Application Programming Interface, API) Verknüpfungen verschiedener Workouts vorgenommen werden. So könnte etwa die Heimadresse eines Nutzers ermittelt werden, der regelmäßig an einem bekannten Geheimdienststandort oder einer Militärbasis trainiert. Vor rund zwei Monaten hätten Forscher bei einer sogenannten „Heatmap“ des Dienstes „Stravas“ gezeigt, zu welchen Datenschutzproblemen Fitness-Apps führen könnten.

Aufspüren von Soldaten und Geheimdienstler möglichen

Die Fitnessapp habe ungeahnte Auswirkungen auf die Privatsphäre: Über die Verknüpfung von Workouts sei die Identifizierung einzelner Mitarbeiter etwa von Militärs oder Geheimdiensten möglich. So könnte etwa die Heimadresse eines Nutzers ermittelt werden, der regelmäßig an einem bekannten Geheimdienststandort oder an einer Militärbasis trainiert.
Die Explore-API zeige nicht nur die aktuell angeschauten Trainingsdaten an, sondern kombiniere alle Sessions eines Nutzers unter einer ID, wenn dieser grundsätzlich der Veröffentlichung von Workouts zugestimmt hat. Wer also in der Nähe einer Militärbasis trainiert und später von seinem Haus aus eine Joggingrunde dreht, könne seine private Adresse verraten.

Nutzer von Fitness-Apps sollten Risiko kennen

Nutzer besonders aus sensiblen Bereichen sollten sich bewusst machen, welche Informationen sie einem Cloud-Dienst anvertrauen und welche nicht: „Das vorliegende Beispiel zeigt, dass selbst ein Privatgerät, das sonst keine Verbindung zur Infrastruktur eines Betriebs hat, zum Sicherheitsrisiko werden kann“, warnt Tim Berghoff, „Security Evangelist“ bei G DATA.
„Wenn die Privatadressen von Mitarbeitern in Schlüsselpositionen öffentlich bekannt werden, hat dies unter Umständen weitreichende Auswirkungen. Was für die meisten ,nur‘ ein unangenehmer Gedanke ist, kann beispielsweise für KRITIS-Unternehmen zum echten Problem werden“, erläutert Berghoff. Gerade im militärischen Bereich könnten diese Informationen zur persönlichen Gefahr für Mitarbeiter und deren Familien werden.

Weitere Informationen zum Thema:

G DATA Security Blog, 10.07.2018
Hauke Gierow: Polar-Fitnessapp identifiziert Soldaten und Geheimdienstler / Die Fitnessapp von Polar hat ungeahnte Auswirkungen auf die Privatsphäre

datensicherheit.de, 21.06.2018
Warnung an Gamer vor falscher Fortnite-App für Android

datensicherheit.de, 09.04.2018
Rettungswesen: Software-Sicherheitsleck zeigt Brisanz der Datensicherheit

datensicherheit.de, 08.03.2017
G DATA: CIA-WikiLeaks-Enthüllungen kein Einzelfall