Das unabhängige Prüfinstitut AV-TEST warnt derzeit vor schweren Sicherheitslücken in der Kinder-Smartwatch SMA Watch-M2 des chinesischen Herstellers Shenzhen Smart Care Technology Ltd. (SMA). Angreifer könnten die Lücken ausnutzen, um auf vertrauliche Daten von Uhrenbesitzern weltweit zuzugreifen, deren exakte Positionsdaten zu verfolgen sowie Gespräche mitzuhören und manipulieren.

AV-TEST hat die Uhr, die über die SIM-Karte als GPS-Tracker funktioniert, einer eingehenden Analyse unterzogen. Dabei seien die Ingenieure des IoT-Labors in der Lage gewesen, auf "Positionsdaten, Rufnummern, Bilder und Gespräche von über 5.000 Kindern in ganz Europa" zuzugreifen. 420 Konten sei eine deutsche Rufnummer zugeordnet gewesen.

AV-TESTs Heatmap hält die von den Forschern georteten Kinderuhren in einer Momentaufnahme fest. (Bild: AV-TEST)

Spionage-Tool am Handgelenk

Die Kommunikation zwischen SMA Watch-M2 und einer mobilen App, über die Eltern oder andere für das Kind verantwortliche Personen unter anderem den Standort einsehen können, erfolgt über eine Web-API auf dem Server des Herstellers. Diese ist laut AV-TEST allerdings "völlig ungeschützt": Der Datenverkehr werde nicht verschlüsselt und einen funktionierenden Authentifizierungsmechanismus gebe es auch nicht. Zwar werde ein Authentifizierungs-Token erzeugt und bei Anfragen an die Web-API mitgesendet; es sei allerdings völlig funktionslos, da es serverseitig nicht überprüft werde.

In der Konsequenz könnten Angreifer theoretisch auf jede beliebige User-ID zugreifen. Mittels automatisiertem Brute-Force-Angriff sei es leicht möglich, die Daten sämtlicher Nutzer herauszufinden – darunter Fotos der Kinder, Namen und Adressdaten von Eltern, Verwandten und Freunden (soweit eingetragen), die IMEI-Nummer des Modems der Uhr sowie die bereits erwähnten Positionsdaten in Echtzeit.

Laut AV-TESTs Produktwarnung zur SMA-WATCH-M2 könnten Angreifer aber nicht nur Daten abfragen, sondern auch Accounts übernehmen und damit "den vollen Funktionsumfang der Eltern-App" nutzen. Dafür genüge das Eintragen der herausgefundenen User-ID(s) in eine Konfigurationsdatei in der installierten App. Diese logge sich dann beim Neustart automatisch und ohne zusätzliche Sicherheitsabfragen in den gekaperten Nutzeraccount ein, so dass der Kommunikation des Angreifers mit der Kinderuhr nicht mehr im Wege stünde.

Uhr weiterhin erhältlich, Sicherheitslücken bleiben

"Die chinesische Kinderuhr ist alles andere als ein Produkt zum Schutz für Kinder, sondern im Gegenteil eine reelle Gefahr", so das abschließende Fazit von AV-TEST.

Das Institut gibt an, SMA über die Sicherheitsmängel informiert zu haben. Der Hersteller habe aber nicht reagiert und vertreibe die um die 30 US-Dollar teure Uhr einfach weiter. Sie ist über verschiedene Online-Handelsplattformen auch hierzulande weiterhin bestellbar.

Ob sich die Situation ändern wird, ist mehr als fraglich, denn die Gefahren, die von billigen IoT-Geräten aus China ausgehen, werden schon seit Jahren immer wieder von IT-Sicherheitsexperten thematisiert. Dass Hersteller nachbessern, ist die absolute Ausnahme. Hinzu kommt die Problematik, dass die Billiggeräte oftmals als so genannte "White-Label-Produkte" im Namen bekannter Marken weiterverkauft werden.

Zuletzt entdeckten Sicherheitsforscher Anfang September 2019 eine knappe Million ausspionierbarer GPS-Tracker im Netz – in Gestalt von Uhren für Kinder und Erwachsene, aber auch als Tierhalsbänder oder zum Platzieren in Fahrzeugen. Sie alle stammten von einer chinesischen Firma namens Shenzen i365, die ihren Firmensitz laut ihrer Website im selben Bezirk Shenzens hat wie SMA.

(ovw)