04.04.2018 Massive Sicherheitslücken bei Kinderuhr

Symbolbild

Die GPS-Smartwatch Paladin des Herstellers Vidimensio kann schnell und für die Trägerinnen und Träger unbemerkt ausgelesen und in Wanzen umfunktioniert werden. 

Das Produkt wird zwar explizit mit den Worten „ohne Abhörfunktion“ beworben, der unabhängige Sicherheitsforscher Christopher Dreher entdeckte jedoch einen gravierenden Mangel. Die App, über die die Trackinguhr gesteuert wird, übertrug bis vor kurzem unverschlüsselt Daten an den Server des österreichischen Herstellers. Dadurch ließ sich die ID-Nummer der Uhr leicht auslesen. Gespeicherte Daten und die GPS-Position der Trägerin oder des Trägers ließen sich so von Hackern in Echtzeit mitlesen. 

Das Computermagazin c‘t und heise online berichteten über diesen gravierenden Software-Mangel in der GPS-Smartwatch für Kinder und Senioren. Die Recherche des Magazins ergab außerdem, dass sich die Uhr leicht in eine Wanze verwandeln lässt, indem man ihr über den Herstellerserver eine Telefonnummer schickt. Ruft man diese Nummer an, kann man alles hören, was im Umfeld der Uhr gesagt wird. 

Der Netzwerkverkehr zwischen Apps und Server wird nun nach einem App-Update TLS-verschlüsselt. Die meisten Sicherheitslücken in der Uhr sind nach wie vor offen und vor allem der Abhörbefehl funktioniert nach wie vor. 

In Deutschland wurde der Kauf von Geräten mit vergleichbaren Abhörfunktionen von der Bundesnetzagentur im vergangenen Jahr verboten. In Österreich wurde der Kauf bisher nicht verboten, die Nutzung einer solchen Uhr als Abhörgerät hätte aber strafrechtliche Konsequenzen. 

Weitere Informationen:

Datum der Veröffentlichung: 04.04.2018

Für den Inhalt verantwortlich:
  • A-SIT Zentrum für sichere Informationstechnologie – Austria