Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Kinder-GPS-Uhren millionenfach ausspionierbar

Seite 2: Déjà vu

Inhaltsverzeichnis

c't-Lesern könne diese Geschichte bekannt vorkommen: Anfang 2018 deckten c't und heise online horrende Sicherheitslücken in Kinder-Smartwatches der österreichischen Firma Vidimensio auf. Diese Geräte wiesen ebenfalls alle jene Sicherheitslücken auf, die nun von den Avast-Forschern beschrieben wurden. Des Weiteren konnten wir an einem zu diesem Zweck gekauften Testgerät im Video demonstrieren, wie sich mit wenigen Linux-Kommandozeilen-Befehlen die Uhr ohne Wissen des Trägers in eine Wanze umfunktionieren lässt.

Der unabhängige Sicherheitsforscher Christopher Bleckmann-Dreher, der die Sicherheitslücken zuerst entdeckt hatte, vermutete schon damals, dass Vidimensio einfach ein White-Label-Produkt eines chinesischen Billighersteller weiterverkauft hatte. Er vermutete, dass die verwundbare Server-Infrastruktur deshalb höchstwahrscheinlich von anderen auf dem Markt befindlichen Geräten benutzt wird.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier ein externes Video (Kaltura Inc.) geladen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Kaltura Inc.) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Die Erkenntnisse der Avast-Forscher scheinen dies zu bestätigen. Die Verpackung, Dokumentation und das Webinterface des von Avast verwendeten Testgerätes deuten stark darauf hin, dass die von Vidimensio vertriebenen Kinder-Tracker und die knappe Million von Avast entdeckten Geräte zur selben Produktfamilie gehören oder mindestens anderweitig verwandt sind. Der Hardware-Hersteller Shenzen i365 hat unsere Anfrage nach weiteren Informationen zu diesen Geräten bisher nicht beantwortet, auch Vidimensio nicht.

Die Hersteller geben sich unbekümmert


Sowohl die Europäische Kommission als auch die Bundesnetzagentur sind in der Vergangenheit gegen unsichere Kinder-GPS-Tracker vorgegangen. Die Bundesnetzagentur prangerte dabei vor allem Funktionen an, die dazu benutzt werden können, entsprechende Geräte abzuhören. Derartige versteckte Abhörfunktionen sind in Deutschland verboten. Bisher ließ sich die Bundesnetzagentur auf Anfragen von uns im Fall Vidimensio nicht dazu zu bewegen, gegen den Hersteller vorzugehen. Die Behörde meint, dass die Probleme mit den Smartwatches des österreichischen Herstellers auf Sicherheitslücken zurückzuführen sind – und für Probleme, die auf Sicherheitslücken zurückzuführen sind, sei sie nicht zuständig.

Von Avast als unsicher identifizierte Produkte

(Bild: Avast)

Momentan ist es fast unmöglich, Käufern Empfehlungen an die Hand zu geben, wie sie herausfinden können, ob ihre Geräte betroffen sind. Nach aktuellem Wissensstand sind so ziemlich alle GPS-Tracker, die preislich zwischen 20 und 250 Euro liegen und bei einem Marktplatz wie Amazon erworben wurden, zumindest verdächtig; vor allem, wenn sie nicht von einem namhaften GPS- oder Smartwatch-Hersteller stammen. Unter allen Umständen sollten Standardpasswörter immer geändert werden, am besten schon beim ersten Einrichten eines Gerätes – egal ob Router, Smart-Home-Gadget oder Kinder-Smartwatch.

Lesen Sie zu diesem Thema auch:

(fab)

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten