shutterstock765274426

Kinder-Smartwatch: GPS-Tracking mit Tücken

Das Unternehmen miSafes bietet mit dem "Kid's Watcher" eine Kinder-Smartwatch an, die eigentlich Eltern helfen soll, ihre Kinder zu schützen. Doch die Geräte selbst sind massiv unsicher, warnt der IT-Sicherheitsexperte Alan Monie von Pen Test Partners. Mit ziemlich einfachen Tricks könnten Angreifer demnach nicht nur an die GPS-Daten der Kinder kommen, das Mikrofon der Smartwatch als Wanze missbrauchen oder gar Audio-Nachrichten an ein Kind senden.


Gute Idee, schlechte Security

Die Idee hinter dem Kid's Watcher scheint eigentlich gut. GPS-Tacking soll dagegen helfen, dass Kinder im Großstadtdschungel oder in Vergnügungsparks wie Disneyland ihre Eltern verlieren. Zudem bietet das Gerät verschiedene Möglichkeiten, damit Eltern mit Kinder in Kontakt treten können sowie einen Knopf, mit dem Kinder im Notfall Alarm geben können. Ein Freund, der daher die Smartwatch besorgt hatte, wollte nun von Monie wissen, wie es um die Sicherheit des günstigen Gadgets bestellt sei. "Es war schlecht... richtig schlecht", urteilt der Experte im Unternehmensblog.

Die zur Smartwatch passende Kontroll-App für Eltern nutzt nämlich keinerlei Verschlüsselung für Datenübertragungen. Also ist es dem Experte gelungen, mit relativ einfachen Hacks er beispielsweise die Echtzeit-GPS-Daten des Geräts abgreifen, dieses anzurufen oder heimlich einen Abhör-Anruf starten, um das Kind auszuspionieren. Auch war es möglich, Audio-Nachrichten zu schicken und dabei die Liste zugelassener Anrufer zu umgehen. Zudem erlauben es die ungesicherten Online-Datenübertragungen einem Angreifer, einfach an Profilbild, Name, Geschlecht, Geburtsdatum, Größe und Gewicht eines Kindes zu kommen.

Projekt "Trackmageddon"

Monie hat zur Demonstration eine App geschrieben, mit der sich aktuelle und vergangene Standorte von Test-Smartwatches verfolgen lassen. Es wäre ihm zufolge leicht, derart auch fremde Kid's Watcher und damit Kinder zu verfolgen. Zwar handelt es sich hier nur um ein Gadget eines Herstellers, doch leider dürfte dieses quasi die Spitze eines Unsicherheits-Eisbergs sein.

Ein Kollege hat sich nämlich Programmierschnittstellen (APIs) diverser anderer Smartwatches und anderer GPS-Tacker angesehen, für ein Projekt namens "Trackmageddon". Demnach dürften ähnliche Probleme verbreitet sein. Aufgrund von publizierten Verkaufszahlen, Downloadzahlen zugehöriger Apps und Gerätekennungen, die APIs zuweisen, gehen die Experten davon aus, dass über eine Mio. ähnlich unsicherer Kinder-Smartwatches genutzt werden, möglichweise sogar an die drei Mio. Stück weltweit.

Foto: Shutterstock/Dmytro Zinkevych

Bitte anmelden um Kommentare verfassen zu können.

JInput Object ( [options:protected] => Array ( ) [filter:protected] => JFilterInput Object ( [stripUSC] => 0 [tagsArray] => Array ( ) [attrArray] => Array ( ) [tagsMethod] => 0 [attrMethod] => 0 [xssAuto] => 1 [tagBlacklist] => Array ( [0] => applet [1] => body [2] => bgsound [3] => base [4] => basefont [5] => embed [6] => frame [7] => frameset [8] => head [9] => html [10] => id [11] => iframe [12] => ilayer [13] => layer [14] => link [15] => meta [16] => name [17] => object [18] => script [19] => style [20] => title [21] => xml ) [attrBlacklist] => Array ( [0] => action [1] => background [2] => codebase [3] => dynsrc [4] => lowsrc ) ) [data:protected] => Array ( [Itemid] => 165 [option] => com_content [view] => article [catid] => 63 [id] => 4860 ) [inputs:protected] => Array ( [cookie] => JInputCookie Object ( [options:protected] => Array ( ) [filter:protected] => JFilterInput Object ( [stripUSC] => 0 [tagsArray] => Array ( ) [attrArray] => Array ( ) [tagsMethod] => 0 [attrMethod] => 0 [xssAuto] => 1 [tagBlacklist] => Array ( [0] => applet [1] => body [2] => bgsound [3] => base [4] => basefont [5] => embed [6] => frame [7] => frameset [8] => head [9] => html [10] => id [11] => iframe [12] => ilayer [13] => layer [14] => link [15] => meta [16] => name [17] => object [18] => script [19] => style [20] => title [21] => xml ) [attrBlacklist] => Array ( [0] => action [1] => background [2] => codebase [3] => dynsrc [4] => lowsrc ) ) [data:protected] => Array ( ) [inputs:protected] => Array ( ) ) [request] => JInput Object ( [options:protected] => Array ( ) [filter:protected] => JFilterInput Object ( [stripUSC] => 0 [tagsArray] => Array ( ) [attrArray] => Array ( ) [tagsMethod] => 0 [attrMethod] => 0 [xssAuto] => 1 [tagBlacklist] => Array ( [0] => applet [1] => body [2] => bgsound [3] => base [4] => basefont [5] => embed [6] => frame [7] => frameset [8] => head [9] => html [10] => id [11] => iframe [12] => ilayer [13] => layer [14] => link [15] => meta [16] => name [17] => object [18] => script [19] => style [20] => title [21] => xml ) [attrBlacklist] => Array ( [0] => action [1] => background [2] => codebase [3] => dynsrc [4] => lowsrc ) ) [data:protected] => Array ( [Itemid] => 165 [option] => com_content [view] => article [catid] => 63 [id] => 4860 ) [inputs:protected] => Array ( ) ) ) )