Fitness trackers worden steeds meer gebruikt, en dus wordt er ook steeds meer data verzameld over onze inspanningen en gezondheid. Daarom lijkt het ook steeds belangrijker te worden dat die trackers deze privégegevens goed beschermen.

Apple heeft de afgelopen tijd steeds duidelijker gemaakt dat privacy voor het bedrijf erg belangrijk is, en inmiddels is het ook iets waar het bedrijf zich steeds vaker mee onderscheidt in marketing-uitingen. Maar marketing is één, hoe zit het in de praktijk?

Het Canadese non-profit Open Effect en de Universiteit van Toronto hebben nu onderzocht (PDF, 819 KB) hoe veilig fitness trackers zijn en hoe die met onze privégegevens omgaan en daarbij komt de Apple Watch ook aan bod.

Eén van de dingen die bij beveiliging van een Bluetooth verbinding gebruikt zou moeten worden is LE Privacy, een onderdeel van Bluetooth LE. Bluetooth zendt regelmatig signalen uit, dat is nodig om het "pairen" met een ander device mogelijk te maken en weet jouw iPhone dat er een Apple Watch in de buurt is.

Daarbij wordt een MAC adres gebruikt, en LE Privacy zorgt ervoor dat dit Mac adres regelmatig verandert. Als LE Privacy niet gebruikt wordt, dan is het relatief eenvoudig om bewegingen van fitness trackers in de buurt op te pikken en vast te leggen. Hieronder kan je zien dat de Apple Watch op dit moment de enige is die op dit moment de beveiliging van LE Privacy gebruikt.



Fitbit en Base gaven in een reactie de reden waarom hun trackers LE Privacy niet gebruiken:

Fitbit stated it was interested in implementing LE Privacy and that their wearable devices could support it. However, the company asserted that the fragmented Android ecosystem, in which some devices do not support LE Privacy, prevented them from implementing the feature.

The security team at Intel (the owners of Basis) stated that the primary use case for the Peak involved the device being continually connected over Bluetooth to the user’s phone, and they provided no indication that they intended to fix the emission of a persistent MAC address through advertising packets when the device was not connected to a mobile device.

Met andere woorden, doordat het Android-landschap zo ontzettend gefragmenteerd is, is dat ecosysteem ook minder veilig en heeft dat effect op de implementatie in bijvoorbeeld de Fitbit bandjes. Bij Intel lijken ze gewoon minder geïnteresseerd in veiligheid, of in ieder geval niet als het om de Basis Peak gaat.

Jammer dat ik niks over mijn Pebble (Health) in het lijstje vind. Geen idee hoe Pebble met de privacy en de veiligheid omgaat!

Die van mij heel goed. Heb er al twee gehad met een scrambled screen dus niks meer van af te lezen  

@ Brinky: met andere woorden, jij kon niet meer bij je data, maar een hacker wel!  

Ik vond die van mij grappiger...