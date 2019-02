Die Europäische Kommission hat mittels ihres Rapid Alert System for Non-Food Products (RAPEX) dazu aufgerufen, die Kinder-Smartwatch Safe-KID-One der Firma ENOX aus dem Verkehr zu ziehen. Dabei handelt es sich um den ersten Fall, bei dem die RAPEX-Infrastruktur benutzt wurde, um Kunden innerhalb der EU vor einem Produkt zu warnen, das ihre Privatsphäre gefährdet.

Die Uhr, vom Hersteller zum Schutz von Kindern beworben, erlaubt es Angreifern aus dem Netz die Positionsdaten des Trägers in Echtzeit auszulesen. Außerdem könnten Unbekannte die Uhren dazu bringen, beliebige Telefonnummern anzurufen und den Träger abzuhören oder mit ihm zu sprechen.

Auf eine Anfrage von heise online teilte ein Sprecher der Firma ENOX mit, die Bundesnetzagentur habe die Uhr im Dezember 2018 überprüft und keine Mängel gefunden – die Uhr sei daraufhin für den deutschen Markt freigegeben worden. Die Firma geht demnach davon aus, dass die Smartwatch in Deutschland und dem Rest der EU unbegrenzt verkauft werden kann.

Die Meldung der Europäischen Kommission erklärte der Sprecher der Firma wie folgt: "Diese RAPEX-Meldung stammt aus einem Test in Island. In unseren Augen war dieser Test übertrieben oder falsch, beziehungsweise basierte auf einem Missverständnis; eventuell der früheren Version dieser Uhr." Auf konkrete Fragen zu den in den Uhren vorhandenen Sicherheitslücken wollte man uns nicht antworten.

Die Bundesnetzagentur untersucht den Fall

Auf eine Rückfrage antwortete uns die Bundesnetzagentur, man ermittele momentan den Sachverhalt. "Die uns in diesem Rapex-Verfahren derzeit vorliegenden Informationen sind für eine abschließende Bewertung nicht ausreichend", betonte ein Sprecher der Behörde. Demnach drohen ENOX unter Umständen weitere Konsequenzen, denn laut der Bundesnetzagentur werden "mögliche Folgemaßnahmen nach vollständiger Auswertung des Sachverhalts erlassen." Wir bleiben mit der Behörde in Kontakt und werden weiter über den Fall berichten.

Der Fall der Smartwatch Safe-KID-One erinnert stark an die GPS-Tracking-Uhr der Firma Vidimensio. Hier hatten c't und heise online Anfang 2018 sehr ähnliche Spionagefunktionen offengelegt. Erst nach unseren Veröffentlichungen gelang es uns, den Hersteller davon zu überzeugen, dass es sich bei den miserabel absgesicherten Server-Verbindungen der Uhr um eine ernstzunehmende Sicherheitslücke handelte.

Weitere Recherchen haben seitdem ergeben, dass eine ganze Reihe ähnlicher Geräte diverser Billig-Hersteller anscheinend dieselbe Server-Infrastruktur und Apps eines chinesischen Herstellers verwenden. Es ist auf Grund der starken Ähnlichkeit der Schwachstellen nicht auszuschließen, dass die ENOX-Produkte eine Infrastruktur nutzen, die der von Vidimensio sehr ähnlich ist. (fab)