Kinder-GPS-Uhren millionenfach ausspionierbar
Sicherheitsforscher haben eine knappe Million ausspionierbarer Kinder-Smartwatch-Tracker im Netz gefunden. c't-Lesern dürfte das bekannt vorkommen.
GPS-Tracker mit eingebauten Kamera.
(Bild: Avast)
- Fabian A. Scherschel
Auf Amazon und anderen Online-Marktplätzen verkaufen allerhand dubiose Anbieter kostengünstig "Smartwatches", mit denen Eltern ein Auge auf ihre Kinder haben können. Die angebotenen Funktionen dieser Geräte sind fast immer dieselben: Mittels eines Webinterfaces oder einer mobilen App können die Eltern die Bewegungen ihrer Kinder nachverfolgen und diese im Notfall über die Uhr anrufen.
Was sich für besorgte Eltern wie eine gute Idee anhören mag, ist oft ein schweres Sicherheitsrisiko für die Kinder: Bei den meisten dieser Uhren handelt es sich um billigen China-Schrott, dessen Hersteller sich kaum um die Sicherheit der Endbenutzer scheren. Forscher des Anti-Viren-Herstellers Avast haben nun eine knappe Million solcher Geräte im Netz geortet, die so unsicher sind, dass die Forscher den Käufern der Geräte empfehlen, diese wegzuwerfen, um ihre Kinder nicht zu gefährden.
Mindestens 600.000 Geräte mit Standardpasswort
Die GPS-Tracker werden von einer chinesischen Firma namens Shenzen i365 hergestellt und ohne Hersteller-Branding (als sogenannte White-Label-Produkte) an Händler vertrieben, welche die Geräte wiederum auf Amazon oder ähnlichen Marktplätzen an Endkunden weiterverkaufen.
Aus diesem Grund ist eine fast unüberschaubare Anzahl von Geräten und Marken betroffen, die alle dieselben Sicherheitslücken gemein haben. Die Kommunikation zu diesen GPS-Trackern findet unverschlüsselt statt und ein trivial zu erratenes Standardpasswort ermöglicht es bei über 600.000 der Geräte jedem geneigten Internetnutzer, auf die Kontaktdaten und die genaue Position des Trägers der Uhren zuzugreifen. Auch lassen sich das eingebaute Mikrofon und Anrufe bei einer beliebigen Uhr abhören.
Alle Uhren und die dazugehörigen Smartphone-Apps benutzen eine einheitliche Server-Infrastruktur, um Eltern die Möglichkeit zu geben, sich die Position ihres Kindes anzeigen zu lassen. Wie Avast in einem Bericht zur Untersuchung der Sicherheitsforscher zeigt, ist dieser Datenverkehr vom GPS-Tracker zum Server und von der App zum Server komplett unverschlüsselt. Ein Angreifer, der sich im selben Netz wie die Telefon-App der Eltern befindet, kann also die Anmeldedaten zum Webinterface und die ID der entsprechenden Uhr auslesen und selbst Zugriff bekommen.
Avast entdeckte noch ein weiteres Problem: Die ID der Tracker lässt sich ganz einfach aus der IMEI-Nummer des eingebauten GSM-Modems ermitteln. Und alle Geräte haben im Auslieferungszustand das Passwort "123456". Da anscheinend fast niemand dieses Standardpasswort ändert, kann sich ein Angreifer Zugang zu einem beliebigen der über eine halbe Million im Netz auffindbaren Geräte verschaffen.
