heise PlusAbo
Anzeige

Xplora-Kinderuhr: Sicherheitslücken erlaubten Zugriff auf alle Geräte

Forscher konnten Nachrichten mitlesen, Standorte fälschen und beliebige Uhren übernehmen – demonstriert aus der Perspektive einer kinderfressenden Waldhexe.

vorlesen Druckansicht 24 Kommentare lesen
Xplora-Smartwatch und Smartphone im Chat

(Bild: Nils Rollshausen, media.ccc.de, CC BY 4.0)

Lesezeit: 4 Min.
Security
Von
Inhaltsverzeichnis

Nils Rollshausen von der TU Darmstadt hat auf dem 39. Chaos Communication Congress (39C3) in Hamburg gravierende Schwachstellen in Kinder-Smartwatches des norwegischen Herstellers Xplora präsentiert. Der Vortrag „Watch Your Kids: Inside a Children's Smartwatch" basierte weitgehend auf den Arbeiten eines Masterstudenten, der die Sicherheitsarchitektur systematisch analysierte. Die Uhren werden nicht nur in Norwegen, sondern weltweit verkauft – nach eigenen Angaben über 1,5 Millionen Stück. In Deutschland werden sie unter anderem von der Telekom in Bundle-Deals angeboten.

„Wir sind eine kinderfressende Hexe"

Rollshausen wählte einen ungewöhnlichen narrativen Rahmen: „Für die Zwecke dieses Talks sind wir eine kinderfressende Hexe, die im Wald lebt." Das Problem der Hexe: Früher wanderten Kinder einfach zur Hütte, doch heute tragen alle GPS-Tracker und die Eltern können sie finden. „Wenn wir nicht verhungern wollen, müssen wir wohl etwas Recherche betreiben."

Der Einstieg gelang über FCC-Zulassungsdokumente, in denen Fotos eines Entwickler-Ladegeräts mit vier statt zwei Pins auftauchten. Die Forscher bastelten einen Adapter – und tatsächlich meldete sich die Uhr als USB-Gerät.

Für den Debug-Modus fragten sie sich: „Was ist die dümmste mögliche Lösung?" Mehrfaches Tippen auf die Versionsnummer, wie sonst auch bei Android. Es funktionierte. Dann erschien ein PIN-Feld. Während Rollshausen über automatisierte Angriffe nachdachte, ging der Masterstudent nach Hause und tippte zwei Stunden lang jede vierstellige Kombination manuell ein und fand die richtige Kombination.

Statische Schlüssel ermöglichen Vollzugriff

Da sich die Uhr mit aktiviertem Debug-Zugang wie ein normales Android-Gerät verhielt, konnten die Forschenden mit Standardtools als Hersteller-Apps extrahieren. Dabei fanden sie das Kernproblem: Die Authentifizierung basierte auf statischen Geheimnissen in der Firmware.

In Kombination mit öffentlich zugänglichen Daten wie Zeitstempeln und Seriennummern konnten Angreifer gültige API-Schlüssel für beliebige Uhren generieren – und damit alles tun, was die echte Uhr auch kann.

Videos by heise

Kinder virtuell nach Pjöngjang teleportieren

Live demonstrierte Rollshausen die möglichen Folgen – weiterhin aus Hexenperspektive:

  • Nachrichten mitlesen: „Sehr nützlich für die Kommunikation"
  • Gefälschte Nachrichten senden: „Damit die Kinder wissen, wo sie uns finden, denn sie sind so beschäftigt mit ihren Handys, dass sie den Wald nicht mehr finden"
  • Standort manipulieren: Für dies Manipulation braucht es laut Rollshausen immer zwei Versuche. Doch dann klappt die „Teleportation" – dann stand das Kind plötzlich in Pjöngjang, Nordkorea, oder einem anderen frei wählbaren Ort.
  • Uhren aus der Ferne zurücksetzen: „Das sieht auf dem Bildschirm nicht sehr interessant aus", räumte er ein, bevor die Uhr auf der Bühne herunterfuhr

„Das ist eine For-Schleife davon entfernt, alle Uhren mit diesem Modell zu kompromittieren. Und das sind viele Uhren", so Rollshausen.

Zähe Kommunikation mit dem Hersteller

Die Offenlegung der Schwachstellen verlief zunächst holprig. Das Vulnerability-Disclosure-Programm auf der Website war falsch verlinkt, E-Mails blieben unbeantwortet – bis etwa eine Woche vor dem 39C3-Talk.

Ein Firmware-Update im August sorgte bei Rollshausen für Nervosität: Würde der Debug-Zugang weiterhin funktionieren? Vorsorglich installierte Rollshausen eine eigene App, die das Debug-Menü direkt aufruft. Diese Maßnahme erwies sich als sinnvoll, denn die bisherige PIN war anschließend ungültig. Die Analyse zeigte, dass die PIN nun sechs statt vier Stellen umfasste und das System nach drei Fehlversuchen gesperrt wurde. An den eigentlichen Schwachstellen hatte sich jedoch nichts geändert. „Sie haben nicht einmal die Zugangsdaten rotiert“, so Rollshausen.

Auch das Firmware-Update im Oktober erforderte lediglich minimale Anpassungen der bestehenden Exploits. Erst kurz vor dem Congress nahm Xplora direkt Kontakt auf. In einem Gespräch am 22. Dezember versicherte das Unternehmen, die Ursachen mit einem Update im Januar 2026 beheben zu wollen. Zudem wurde das Disclosure-Programm überarbeitet, und der beteiligte Masterstudent erhielt eine „ansehnliche“ Bug-Bounty-Vergütung.

Signal auf der Kinderuhr

Als ironische Zwischenlösung zeigte Rollshausen den Signal-Messenger auf einer Xplora-Uhr: „Ich musste alle Größenwerte durch zehn teilen, damit das auf den Bildschirm passt – aber technisch können Sie Signal auf der Smartwatch Ihres Kindes laufen lassen."

Die Botschaft: „Wir können mit Herstellern zusammenarbeiten, um Dinge sicherer zu machen – aber wir müssen nicht. Wir können auch einfach unser eigenes Ding machen."

(vza)

Beliebte Bestenlisten

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten