Deutsche Experten von der Technischen Universität Darmstadt haben schwere Sicherheitslücken in einer beliebten Xplora-Smartwatch für Kinder entdeckt. Ein Student umging in seiner Masterarbeit die Sicherheitsmaßnahmen eines aktuellen Modells – und konnte private Nachrichten zwischen Kindern und Eltern mitlesen sowie manipulierte Nachrichten im Namen der Kinder versenden. Besonders brisant: Mit dem Schlüssel einer einzigen Uhr erhielt er vollen Zugriff auf sämtliche Uhren des gleichen Typs.
Nils Rollshausen, der die Masterarbeit als Doktorand betreute, warnte in einer Pressemitteilung: «Besonders kritisch war, dass man mit dem Auslesen des Schlüssels aus einer einzigen Uhr den vollen Zugriff auf sämtliche Uhren des gleichen Typs erlangen konnte.» Die Forscher informierten das Bundesamt für Sicherheit in der Informationstechnik über die Schwachstellen.
Hersteller bestreitet Ausmaß der Lücken
Der norwegische Hersteller Xplora widersprach der Darstellung der Forscher deutlich. Das Unternehmen erklärte, die identifizierte Schwachstelle sei eine Debug-Schnittstelle gewesen, die nicht leicht zugänglich sei. Die Tests hätten unter streng kontrollierten Laborbedingungen stattgefunden und seien auf das Gerät des Forschers beschränkt gewesen. Nach der Benachrichtigung habe man die Sicherheit sofort erhöht, sodass eine praktische Ausnutzung der Schnittstelle unrealistisch sei.
Xplora betonte, es habe zu keiner Zeit einen unbefugten Zugriff auf die Smartwatches gegeben. Auch gebe es keine Hinweise darauf, dass Nutzerdaten abgefangen worden seien. Die Forscher hingegen erklärten, es habe drei Monate gedauert, bis erste Verbesserungen umgesetzt wurden – und grundlegende Schwachstellen bestünden weiterhin.
Die Xplora-Smartwatch gilt als beliebte Smartphone-Alternative für Kinder. Das Gerät ermöglicht Telefonate und Kurznachrichten mit begrenzten Kontakten, besitzt aber keinen Browser und keine Social-Media-Apps. Eltern können die GPS-Position ihrer Kinder abrufen.
Hinweis: Dieser Artikel wurde mit Künstlicher Intelligenz (KI) erstellt.