Abhör-Alptraum: GPS-Smartwatch für Kinder und Senioren lässt sich von Fremden belauschen
Eine Investigativ-Recherche von c't und heise online belegt: Hunderte in Deutschland verkaufte Smartwatches lassen sich im Handumdrehen aus dem Internet in eine Wanze umfunktionieren, ohne dass der Träger dies bemerkt.
In Deutschland über Amazon verkaufte GPS-Tracking-Smartwatches einer kleinen österreichisch-britischen Firma enthalten horrende Sicherheitslücken, über die Besitzer der Uhren verfolgt und abgehört werden können. Wie Recherchen von c't und heise online belegen, lässt sich die Smartwatch Paladin des Herstellers Vidimensio mit einer simplen Webanfrage dazu bringen, eine beliebige Telefonnummer anzurufen, ohne dass der Träger dies bemerkt. Der Angerufene kann daraufhin alles, was in der Nähe der Uhr geschieht, mithören. Die Uhren, die für mehr Sicherheit der Träger sorgen sollen – Vidimensio bewirbt seine Produkte zum Schutz von Kindern und Senioren –, werden so zu Wanzen, die von Fremden aus dem Internet kontrolliert werden können.
Im Handumdrehen wird die Uhr zur Wanze
Um die Abhörfunktion der Uhr zu aktivieren, ist keine Anmeldung und kein Passwort nötig. Bekannt sein muss lediglich die einmalige ID des Gerätes. Zu den Uhren gehören Android- und iOS-Apps des Herstellers, die über dessen Server mit der Uhr kommunizieren. Bis vor kurzem wurden Befehle, inklusive der Geräte-ID, dabei im Klartext übertragen. Mit wenigen Handgriffen war es uns so möglich, die ID unserer Uhr auszulesen und die Server-Befehle mitzuschreiben. Die IDs scheinen nacheinander vergeben zu werden, was es trivial macht, die Uhren anderer Vidimensio-Kunden zu finden. Alleine mit einer Linux-Kommandozeile und der ID einer Uhr bewaffnet, kann man diese dann abhören.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externes Video (Kaltura Inc.) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Kaltura Inc.) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Der Hersteller diskutiert, statt abzusichern
Entdeckt hat die Sicherheitslücke der unabhängige Sicherheitsforscher Christopher Dreher. Er erkannte sofort die Brisanz des Themas und wandte sich an die Redaktion von c't und heise online: Wir sollten den Hersteller kontaktieren und zusammen dafür sorgen, dass die Sicherheitslücken gestopft werden, bevor wir die Geschichte veröffentlichen. Die gesamte Odyssee unserer schwierigen Kommunikation mit der Firma Vidimensio beschreibt der Artikel Vorsicht, Uhr hört mit in der aktuellen c't. Um es kurz zu machen: Die meisten Sicherheitslücken in der Uhr sind nach wie vor offen und vor allem der Abhörbefehl funktioniert nach wie vor.
Anfang Januar über die Sicherheitsprobleme in seinen Produkten von uns informiert, konnte uns der Hersteller bis jetzt keinen genauen Termin für das Beheben der Sicherheitsprobleme mitteilen. Stattdessen diskutierte der Firmeninhaber mit uns, ob eine Berichterstattung gerechtfertigt sei. Wir versuchten ihn weiterhin davon zu überzeugen, wie ernst die von Dreher entdeckten Schwachstellen sind. Alleine der Netzwerkverkehr zwischen Apps und Server wird nach Anraten des Sicherheitsforschers nach einem App-Update nun wenigstens TLS-verschlüsselt. Da die Apps allerdings kein Zertifikats-Pinning umsetzen, gelang es uns trotzdem mit gängigen Werkzeugen wie etwa mitmproxy, die ID unserer Test-Uhr auch nach dem Update auszulesen.
In Deutschland verboten
Der Funktionsumfang der Vidimensio-Uhr scheint genau auf die Beschreibung von "Kinderuhren mit Abhörfunktion" zuzutreffen, vor denen die Bundesnetzagentur im November 2017 gewarnt hatte: "Der App-Besitzer kann bestimmen, dass die Uhr unbemerkt vom Träger und dessen Umgebung eine beliebige Telefonnummer anruft", heißt es in der Mitteilung der Behörde. "So wird er in die Lage versetzt, unbemerkt die Gespräche des Uhrenträgers und dessen Umfeld abzuhören. Eine derartige Abhörfunktion ist in Deutschland verboten." Die Bundesnetzagentur hatte den Besitzern solcher Geräte damals empfohlen, diese zu vernichten und einen Nachweis über die Zerstörung der Uhr aufzubewahren. Nach eigener Aussage der Verantwortlichen bei Vidimension wussten sie seit Ende letzten Jahres von dieser Warnung der Behörde.
Vermutlich weitere Uhrenmodelle betroffen
Die während unserer Recherchen gesammelten Erfahrungen mit dem Uhren-Modell Paladin und der Server-Infrastruktur von Vidimensio lassen uns vermuten, dass auch andere Uhren des Herstellers ähnliche Sicherheitslücken enthalten. Die Verantwortlichen sind allerdings davon überzeugt, dass ihre Uhren sicher sind. "Die Abhörfunktion bei der Uhr Paladin wie auch bei anderen Uhren von uns" sei "abgeschaltet" worden, beteuerte Vidimensio. Zu dem Zeitpunkt, als uns diese Stellungnahme erreichte, gelang es uns allerdings immer noch, unsere Test-Uhr zu belauschen.
Neben der Abhörfunktion können Angreifer per Server-Befehl auch die aktuelle Position der Uhr in Echtzeit abfragen. Zusätzlich war es uns möglich, unsere Uhr per Remote-Befehl zurückzusetzen und uns Zugang zum Webinterface für unsere Paladin zu verschaffen. Auf diesem Wege hätte ein Angreifer das auf der Uhr gespeicherte Kontaktbuch und unsere personenbezogenen Daten auslesen können. (fab)