Presse-Informationen
c't

  1. Heise Gruppe
  2. Presse-Informationen
  3. c't

c’t deckt auf:
Abhör-Lücke in Kinder-Smartwatch

Hannover, 29. März 2018 – Tracking-Uhren für Kinder und Senioren sollen eigentlich für mehr Sicherheit sorgen. In seiner aktuellen Ausgabe 8/18 deckt das Computermagazin c‘t allerdings gravierende Software-Mängel in einer GPS-Smartwatch auf. Durch diese Sicherheitslücke können Träger von Fremden belauscht oder getrackt werden.

Die Smartwatch Paladin der Firma Vidimensio kann kinderleicht abgehört und ausgelesen werden – und das, obwohl die Firma das Produkt explizit mit den Worten „ohne Abhörfunktion“ anpreist. Die App, über die die Uhr gesteuert wird, übertrug bis vor Kurzem die Daten unverschlüsselt an den Server des österreichischen Herstellers, wodurch sich die ID-Nummer eines Gerätes leicht auslesen ließ. Angreifer konnten dann mühelos die auf der Uhr gespeicherten Daten sowie die GPS-Position des Trägers in Echtzeit mitlesen.

Darüber hinaus kann die Uhr leicht in eine Wanze verwandelt werden, erklärt c’t-Redakteur Fabian Scherschel: „Schickt man der Uhr über den Hersteller-Server eine Telefonnummer, ruft diese daraufhin die Nummer an und der Empfänger kann alles hören, was im Umfeld der Uhr gesagt wird.“ Geräte mit vergleichbaren Abhörfunktionen sind in Deutschland von der Bundesnetzagentur im vergangenen Jahr verboten worden.

Entdeckt hat diese Lücken der auf Pentesting spezialisierte Sicherheitsforscher Christopher Dreher. Er wandte sich mit seinen Erkenntnissen an Scherschel. Als Scherschel daraufhin Vidimensio auf die Probleme ihrer Smartwatch aufmerksam machte, zeigte sich die Firma wenig einsichtig. „Statt uns mitzuteilen, bis wann er die Sicherheitslücken schließen könnte, diskutierte der Firmenchef mit uns darüber, ob die Geschichte eine Veröffentlichung rechtfertige“, so Scherschel.

Tatsächlich brachten die infolge der c’t-Anfrage durchgeführten App-Updates nur wenig Verbesserung. Zwar verschlüsselt die Software Abfragen nun. „Bei Redaktionsschluss war es uns aber nach wie vor möglich, allein unter Angabe der ID einer Uhr dieser Befehle zu schicken und sie abzuhören“, betont Scherschel.

Hinweis für Redaktionen: Gerne stellen wir Ihnen den Artikel zur Rezension kostenfrei zur Verfügung.