Kinder-Smartwatch von Xplora in der Sicherheitsdebatte: TU Darmstadt deckt Schwachstellen auf
Forscher der Technischen Universität Darmstadt haben erhebliche Sicherheitsmängel bei einer populären Kinder-Smartwatch aufgedeckt. Studenten dieser renommierten Einrichtung gelang es, im Zuge einer Masterarbeit, die Schutzmechanismen des gegenwärtigen Xplora-Modells gekonnt zu umgehen. Dieses Gerät wird oft als praktischer Smartphone-Ersatz verwendet und ermöglicht es Kindern, telefonische und textliche Kommunikation in einem begrenzten Kreis bekannter Kontakte zu pflegen, ohne jedoch Zugang zu Webbrowsern oder sozialen Medien zu bieten.
Über GPS können Eltern sogar den Standort der Uhr jederzeit abrufen. Das in Norwegen ansässige Unternehmen, das hinter der Smartwatch steht, erkennt die Ratschläge zur Verbesserung der Produktsicherheit an und teilt mit, in aktivem Dialog mit den Wissenschaftlern zu stehen. Dennoch widerspricht es der drastischen Darstellung der Sicherheitslücke durch die Forscher.
Nach Angaben der TU Darmstadt waren die Forscher in der Lage, sowohl private Mitteilungen zwischen Kindern und Eltern mitzuverfolgen als auch manipulierte Nachrichten zu versenden. Besonders beunruhigend sei, dass der Zugriffsschlüssel einer Uhr ausreiche, um Kontrolle über alle Geräte des gleichen Typs zu erlangen, so der Doktorand Nils Rollshausen, der die Masterarbeit betreute. Xplora kontert, dass die fragliche Schwachstelle nur als schwer zugängliche Fehlerbehebungsoberfläche existiere und die Situation in streng kontrollierten Laborumgebungen getestet wurde. Ein Missbrauch im realen Umfeld sei laut dem Unternehmen nicht möglich, und es gibt keine Beweise für einen unbefugten Zugriff oder Datendiebstahl.
Die Sicherheitsmaßnahmen wurden unmittelbar erhöht, wobei Xplora jedoch betont, dass kein unerlaubter Zugriff jemals stattgefunden habe. Das Forscherteam erklärt, dass es drei Monate gedauert habe, bis erste Sicherheitsverbesserungen verwirklicht wurden, wobei die fundamentalen Schwächen weiterhin bestehen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wurde über den Vorfall informiert, um stärker auf das Thema Datensicherheit hinzuwirken.
