Menü

Kinder-Smartwatch mit Tracking-Funktion: Hersteller Enox sieht kein Problem mit Spionage-Uhr

Die Kinder-Smartwatch Safe-KID-One kann von Fremden aus dem Netz abgehört und verfolgt werden. Der Hersteller sieht keinen Hinderungsgrund für den Verkauf.

vorlesen Drucken Kommentare lesen 66 Beiträge

Die Kinder-Smartwatch Safe-KID-One von ENOX hat schwerwiegende Sicherheitsmängel

(Bild: heise online)

Der Hersteller der Kinder-Tracking-Smartwatch Safe-KID-One sträubt sich gegen die Berichterstattung über den Fall. Nachdem die Uhr von der Europäischen Kommission mittels einer RAPEX-Kundenwarnung wegen gravierender Sicherheitsmängel zurückgerufen worden war, bleibt die deutsche Firma ENOX bei ihrer Sichtweise des Vorfalls.

Die Uhr sei von der Bundesnetzagentur geprüft worden und man verstehe nicht, warum ein Rückruf nötig sei. Gegenüber dem britischen Boulevardmagazin The Daily Star gab der Chef der Firma zu Protokoll, dass er die Aufregung in den Medien nicht verstehen könne. Der GPS-Chip in der Tracking-Watch sei nicht sehr genau, es sei viel wahrscheinlicher, dass Bösewichte die Kinder direkt verfolgen würden, anstatt die Uhr zu hacken.

Seiner Aussage nach steckt in der Uhr ein älteres GPS-System, das die Position der Uhr nur auf 500 Meter genau angeben könne. Darauf, dass Angreifer über die Sicherheitslücken im Server-Backend und der Begleit-App des Gerätes den Träger auch ausspionieren können, ging der ENOX-Vertreter nicht ein.

Auch gegenüber heise online vertrat die Firma den Standpunkt, dass man nicht verstehen könne, warum sich Journalisten überhaupt für den Fall interessieren würden, wenn zur gleichen Zeit ein Schüler die Daten tausender Politiker gehackt habe . Interessanterweise hatte der Chef des Tracking-Uhren-Herstellers Vidimensio mit fast identischen Argumenten reagiert, als c't horrende Sicherheitslücken in dessen Smartwatches aufgedeckt hatte. Uns gelang es auch in diesem Fall nicht, den Hersteller davon zu überzeugen, dass die Existenz noch schwerwiegenderer Sicherheitslücken in den Produkten anderer Hersteller ihn nicht von der Verantwortung für die Sicherheit der eigenen Produkte entbinde.

Erschreckend einfach: Um die Abhörfunktion der Uhr zu aktivieren, ist keine Anmeldung und kein Passwort nötig. Bekannt sein muss lediglich die einmalige ID des Gerätes.

Die explizit an Eltern vermarktete Smartwatch Safe-KID-One hat laut eines Untersuchungsberichtes einer isländischen Sicherheitsfirma gravierende Mängel, die es Fremden aus dem Internet ermöglicht, die Träger in Echtzeit zu verfolgen und abzuhören. Außerdem könnte ein Angreifer alle vom Benutzer eingepflegten Telefonnummern aus dem Server-Backend der Geräte auslesen.

Letzteres sieht der Hersteller aber laut seiner Stellungnahme nicht mal als erstzunehmendes Sicherheitsproblem. Auch ein Einbruch in die Server sei für "normale Personen" so gut wie unmöglich, trotz der Sicherheitslücken, sagt ENOX. Stichprobenartige Versuche von heise online in dieser Richtung legen allerdings nahe, dass wenigstens Personen mit rudimentärem Verständnis von Web-Architektur und einer gesunden Menge Neugier Zugang zu den entsprechenden Systemen erlangen können.

Die Bundesnetzagentur hatte der Safe-KID-One wohl zuerst bescheinigt, nicht gegen geltende deutsche Regularien zu verstoßen, untersucht das Gerät aber mittlerweile genauer. Bis diese Untersuchung abgeschlossen ist, wollte die Behörde der RAPEX-Empfehlung der EU-Kommission nicht widersprechen.

In der Vergangenheit hatte die Bundesnetzagentur selbst zur Vernichtung von Tracking-Uhren aufgerufen, da diese ebenfalls abgehört werden konnten. Sicherheitslücken, die Geräte dieser Art in verdeckte Wanzen verwandeln können, führen dazu, dass die Geräte nach deutschem Recht aus dem Handel genommen werden müssen. Des weiteren dürfen Käufer die Geräte nicht mehr benutzen, da sie die Privatsphäre Dritter gefährden. (fab)