Die Fitness-App Polar Flow des gleichnamigen finnischen Herstellers gibt mehr Daten Preis, als sie sollte. Wie Forscher herausgefunden haben, können über die maschinenlesbare Schnittstelle (Application Programming Interface, API) Verknüpfungen verschiedener Workouts vorgenommen werden. So könnte etwa die Heimadresse eines Nutzers ermittelt werden, der regelmäßig an einem bekannten Geheimdienststandort oder an einer Militärbasis trainiert. Vor rund zwei Monaten hatten Forscher bereits gezeigt, zu welchen Datenschutzproblemen Fitnessapps führen können. Damals wurden durch sogenannte Heatmaps beim Dienst Strava die Orte von bislang geheimen Militärbasen identifiziert.
Die unabsichtliche Weitergabe der Daten ist bei der Polar-App allerdings deutlich umfassender, denn die Explore-API zeigt nicht nur die aktuell angeschauten Trainingsdaten an, sondern kombiniert alle Sessions eines Nutzers unter einer ID, wenn dieser grundsätzlich der Veröffentlichung von Workouts zugestimmt hat. Die Daten können je nach Anmeldedatum des Nutzers bis in das Jahr 2014 zurückreichen.
Wer also in der Nähe einer Militärbasis trainiert und später von seinem Haus aus eine Joggingrunde dreht, kann seine private Adresse verraten. In einer gemeinsamen Untersuchung von Bellingcat und der niederländischen Zeitung De Correspondent konnten so nach Angaben der Beteiligten rund 6500 einzelne Nutzer identifiziert werden, die an rund 200 „sensiblen“ Orten arbeiten sollen. Das Team hatte zuvor zahlreiche Daten automatisiert von der Seite abgerufen (sogenanntes Scraping).
Nutzer von Fitness-Apps sollten Risiko einschätzen
Nutzer sollten sich besonders in sensiblen Bereichen bewusst machen, welche Informationen sie einem Clouddienst anvertrauen und welche nicht: „Das vorliegende Beispiel zeigt, dass selbst ein Privatgerät, das sonst keine Verbindung zur Infrastruktur eines Betriebs hat, zum Sicherheitsrisiko werden kann,“ sagt Tim Berghoff, Security Evangelist bei G DATA.
„Wenn die Privatadressen von Mitarbeitern in Schlüsselpositionen öffentlich bekannt werden, hat dies unter Umständen weitreichende Auswirkungen. Was für die meisten 'nur' ein unangenehmer Gedanke ist, kann beispielsweise für KRITIS-Unternehmen zum echten Problem werden,“ sagt Berghoff. Gerade im militärischen Bereich können diese Informationen zur persönlichen Gefahr für Mitarbeiter und deren Familien werden.
Polar sieht vor allem die Nutzer in der Verantwortung, die eigenen Daten zu schützen. Diese müssten über ein Opt-In explizit zustimmen, dass Workouts auch öffentlich kommuniziert werden, sagte das Unternehmen dem Portal ZD Net. Die meisten Nutzer dürften sich allerdings nicht bewusst sein, dass die Informationen zur Identifikation des eigenen Wohnortes führen können. Das Unternehmen hat die Explore-API nach den Berichten vorsorglich abgeschaltet, um den Vorfall zu untersuchen. Polar hat die Standardeinstellung zum Teilen von Daten im vergangenen Jahr überarbeitet und teilt nun weniger Informationen mit der Öffentlichkeit. Auf alte Accounts wurden die neuen Standardeinstellungen allerdings nicht übertragen.
Gegenmaßnahmen
Unternehmen können sich schützen, indem sie Mobile-Device-Management-Lösungen auf den Dienstgeräten ihrer Mitarbeiter installieren, wie sie in der Business-Version der G DATA-Software enthalten sind. Damit kann der Zugriff auf bestimmte Applikationen wie etwa WhatsApp, Fitnessapps oder andere Programm eingeschränkt oder komplett verhindert werden. Mindestens genauso wichtig ist aber die Aufklärung der Mitarbeiter über entsprechenden Risiken. Denn wie das vorliegende Beispiel zeigt, können auch privat in die Firma gebrachte Geräte zu unvorhersehbaren Problemen führen.