Menü

Kinder-GPS-Uhren millionenfach ausspionierbar

Sicherheitsforscher haben eine knappe Million ausspionierbarer Kinder-Smartwatch-Tracker im Netz gefunden. c't-Lesern dürfte das bekannt vorkommen.

Lesezeit: 3 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 275 Beiträge

GPS-Tracker mit eingebauten Kamera.

(Bild: Avast)

Von

Auf Amazon und anderen Online-Marktplätzen verkaufen allerhand dubiose Anbieter kostengünstig "Smartwatches", mit denen Eltern ein Auge auf ihre Kinder haben können. Die angebotenen Funktionen dieser Geräte sind fast immer dieselben: Mittels eines Webinterfaces oder einer mobilen App können die Eltern die Bewegungen ihrer Kinder nachverfolgen und diese im Notfall über die Uhr anrufen.

Was sich für besorgte Eltern wie eine gute Idee anhören mag, ist oft ein schweres Sicherheitsrisiko für die Kinder: Bei den meisten dieser Uhren handelt es sich um billigen China-Schrott, dessen Hersteller sich kaum um die Sicherheit der Endbenutzer scheren. Forscher des Anti-Viren-Herstellers Avast haben nun eine knappe Million solcher Geräte im Netz geortet, die so unsicher sind, dass die Forscher den Käufern der Geräte empfehlen, diese wegzuwerfen, um ihre Kinder nicht zu gefährden.

Die GPS-Tracker werden von einer chinesischen Firma namens Shenzen i365 hergestellt und ohne Hersteller-Branding (als sogenannte White-Label-Produkte) an Händler vertrieben, welche die Geräte wiederum auf Amazon oder ähnlichen Marktplätzen an Endkunden weiterverkaufen.

Aus diesem Grund ist eine fast unüberschaubare Anzahl von Geräten und Marken betroffen, die alle dieselben Sicherheitslücken gemein haben. Die Kommunikation zu diesen GPS-Trackern findet unverschlüsselt statt und ein trivial zu erratenes Standardpasswort ermöglicht es bei über 600.000 der Geräte jedem geneigten Internetnutzer, auf die Kontaktdaten und die genaue Position des Trägers der Uhren zuzugreifen. Auch lassen sich das eingebaute Mikrofon und Anrufe bei einer beliebigen Uhr abhören.

Alle Uhren und die dazugehörigen Smartphone-Apps benutzen eine einheitliche Server-Infrastruktur, um Eltern die Möglichkeit zu geben, sich die Position ihres Kindes anzeigen zu lassen. Wie Avast in einem Bericht zur Untersuchung der Sicherheitsforscher zeigt, ist dieser Datenverkehr vom GPS-Tracker zum Server und von der App zum Server komplett unverschlüsselt. Ein Angreifer, der sich im selben Netz wie die Telefon-App der Eltern befindet, kann also die Anmeldedaten zum Webinterface und die ID der entsprechenden Uhr auslesen und selbst Zugriff bekommen.

Avast entdeckte noch ein weiteres Problem: Die ID der Tracker lässt sich ganz einfach aus der IMEI-Nummer des eingebauten GSM-Modems ermitteln. Und alle Geräte haben im Auslieferungszustand das Passwort "123456". Da anscheinend fast niemand dieses Standardpasswort ändert, kann sich ein Angreifer Zugang zu einem beliebigen der über eine halbe Million im Netz auffindbaren Geräte verschaffen.

c't-Lesern könne diese Geschichte bekannt vorkommen: Anfang 2018 deckten c't und heise online horrende Sicherheitslücken in Kinder-Smartwatches der österreichischen Firma Vidimensio auf. Diese Geräte wiesen ebenfalls alle jene Sicherheitslücken auf, die nun von den Avast-Forschern beschrieben wurden. Des Weiteren konnten wir an einem zu diesem Zweck gekauften Testgerät im Video demonstrieren, wie sich mit wenigen Linux-Kommandozeilen-Befehlen die Uhr ohne Wissen des Trägers in eine Wanze umfunktionieren lässt.

Der unabhängige Sicherheitsforscher Christopher Bleckmann-Dreher, der die Sicherheitslücken zuerst entdeckt hatte, vermutete schon damals, dass Vidimensio einfach ein White-Label-Produkt eines chinesischen Billighersteller weiterverkauft hatte. Er vermutete, dass die verwundbare Server-Infrastruktur deshalb höchstwahrscheinlich von anderen auf dem Markt befindlichen Geräten benutzt wird.

Live-Hack einer Vidimensio-Smartwatch im Heise-Keller

Die Erkenntnisse der Avast-Forscher scheinen dies zu bestätigen. Die Verpackung, Dokumentation und das Webinterface des von Avast verwendeten Testgerätes deuten stark darauf hin, dass die von Vidimensio vertriebenen Kinder-Tracker und die knappe Million von Avast entdeckten Geräte zur selben Produktfamilie gehören oder mindestens anderweitig verwandt sind. Der Hardware-Hersteller Shenzen i365 hat unsere Anfrage nach weiteren Informationen zu diesen Geräten bisher nicht beantwortet, auch Vidimensio nicht.


Sowohl die Europäische Kommission als auch die Bundesnetzagentur sind in der Vergangenheit gegen unsichere Kinder-GPS-Tracker vorgegangen. Die Bundesnetzagentur prangerte dabei vor allem Funktionen an, die dazu benutzt werden können, entsprechende Geräte abzuhören. Derartige versteckte Abhörfunktionen sind in Deutschland verboten. Bisher ließ sich die Bundesnetzagentur auf Anfragen von uns im Fall Vidimensio nicht dazu zu bewegen, gegen den Hersteller vorzugehen. Die Behörde meint, dass die Probleme mit den Smartwatches des österreichischen Herstellers auf Sicherheitslücken zurückzuführen sind – und für Probleme, die auf Sicherheitslücken zurückzuführen sind, sei sie nicht zuständig.

Von Avast als unsicher identifizierte Produkte

(Bild: Avast)

Momentan ist es fast unmöglich, Käufern Empfehlungen an die Hand zu geben, wie sie herausfinden können, ob ihre Geräte betroffen sind. Nach aktuellem Wissensstand sind so ziemlich alle GPS-Tracker, die preislich zwischen 20 und 250 Euro liegen und bei einem Marktplatz wie Amazon erworben wurden, zumindest verdächtig; vor allem, wenn sie nicht von einem namhaften GPS- oder Smartwatch-Hersteller stammen. Unter allen Umständen sollten Standardpasswörter immer geändert werden, am besten schon beim ersten Einrichten eines Gerätes – egal ob Router, Smart-Home-Gadget oder Kinder-Smartwatch.

Lesen Sie zu diesem Thema auch:

(Fabian A. Scherschel) / (fab)