Kinder-Smartwatch mit gravierenden Sicherheitslücken: Wenn der digitale Babysitter zum Einfallstor für Spione wird

Was Eltern als sichere Alternative zum Smartphone für ihre Sprösslinge betrachten, entpuppt sich möglicherweise als digitales Scheunentor für Cyberkriminelle. Forscher der Technischen Universität Darmstadt haben bei der beliebten Kinder-Smartwatch Xplora des gleichnamigen norwegischen Herstellers erhebliche Sicherheitsmängel aufgedeckt – und die Erkenntnisse sind alarmierend.

Ein Student deckt auf, was Profis übersehen haben

Im Rahmen einer Master-Arbeit gelang es einem Studenten, die Sicherheitsvorkehrungen eines aktuellen Xplora-Modells zu umgehen. Was zunächst wie eine akademische Fingerübung klingt, hat weitreichende Konsequenzen für Millionen von Familien weltweit. Denn die Smartwatch, die eigentlich als kindgerechte Kommunikationslösung konzipiert wurde, könnte zum perfekten Werkzeug für Überwachung und Manipulation werden.

Die Uhr erlaubt Telefonate und Kurznachrichten mit einer begrenzten Anzahl eingespeicherter Kontakte, verzichtet bewusst auf Browser und Social-Media-Apps. Eltern können zudem den Standort ihres Kindes per GPS verfolgen. Ein vermeintlich durchdachtes Sicherheitskonzept – das nun erhebliche Risse zeigt.

Manipulierte Nachrichten im Namen der Kinder

Besonders beunruhigend ist die Tragweite der entdeckten Schwachstelle. Laut den Darmstädter Forschern war es nicht nur möglich, private Nachrichten zwischen Kindern und Eltern mitzulesen. Angreifer hätten auch manipulierte Nachrichten im Namen der Kinder verschicken können. Man stelle sich vor: Ein Fremder sendet der Mutter eine Nachricht, die vermeintlich vom eigenen Kind stammt.

„Besonders kritisch war, dass man mit dem Auslesen des Schlüssels aus einer einzigen Uhr den vollen Zugriff auf sämtliche Uhren des gleichen Typs erlangen konnte"

Diese Aussage von Doktorand Nils Rollshausen verdeutlicht das Ausmaß des Problems. Ein einziges kompromittiertes Gerät hätte theoretisch den Zugang zu allen Uhren desselben Modells ermöglichen können.

Hersteller widerspricht – doch Zweifel bleiben

Das norwegische Unternehmen Xplora reagierte auf die Vorwürfe mit einer bemerkenswerten Mischung aus Eingeständnis und Relativierung. Man habe die Hinweise zur Verbesserung der Sicherheit erhalten und umgesetzt, arbeite mit den Wissenschaftlern zusammen. Gleichzeitig widersprach der Hersteller der Darstellung der Forscher deutlich.

Bei der bemängelten Schwachstelle handle es sich lediglich um eine Oberfläche zur Fehlerbehebung, die nicht ohne weiteres zugänglich sei. Der Test habe unter streng kontrollierten Laborbedingungen stattgefunden. Ein praktisches Ausnutzen sei unrealistisch, versichert das Unternehmen.

Drei Monate bis zur ersten Reaktion

Doch die Forscher zeichnen ein anderes Bild. Drei Monate habe es gedauert, bis erste Verbesserungen umgesetzt wurden. Die grundlegenden Schwachstellen seien damit noch nicht behoben. Konsequenterweise informierten die Wissenschaftler das Bundesamt für Sicherheit in der Informationstechnik über ihre Erkenntnisse.

Ein Symptom eines größeren Problems

Der Fall Xplora ist symptomatisch für eine Entwicklung, die nachdenklich stimmen sollte. In einer Zeit, in der selbst Kinderspielzeug vernetzt ist, werden Sicherheitsfragen oft erst nachträglich gestellt. Eltern, die ihre Kinder schützen wollen, kaufen Geräte, deren Sicherheitsarchitektur sie nicht überprüfen können. Sie vertrauen auf Werbeversprechen – und werden mitunter bitter enttäuscht.

Dass ausgerechnet ein Student im Rahmen seiner Abschlussarbeit Lücken findet, die professionellen Sicherheitsteams entgangen sind, wirft Fragen auf. Wie gründlich werden solche Produkte vor der Markteinführung geprüft? Und wer trägt die Verantwortung, wenn sensible Daten von Kindern in falsche Hände geraten?