Österreichische Kinder-Smartwatch wurde zur Wanze

Die Smartwatch „Paladin“ des österreichischen Herstellers Vidimensio ist eine so genannte Tracking-Uhr. Sie wurde entwickelt, damit Eltern ihre Kinder via GPS überwachen und orten können. Experten des deutschen Computermagazins „c’t“ haben massive Sicherheitslücken festgestellt. Hacker könnten die Uhr problemlos in eine Wanze verwandeln. Der Hersteller wehrt sich und meint, dass die Sicherheitslücken mittlerweile geschlossen wurden.

Sendungshinweis

„Help“, das Ö1-Konsumentenmagazin, jeden Samstag um 11.40 Uhr in Radio Ö1

In der heutigen Zeit sei für Eltern die Ortung der Kinder besonders wichtig geworden, schreibt die Firma Vidimensio auf ihrer Webseite. Zu diesem Zweck erzeugt das Unternehmen mit Adressen in Wien und London GPS-Uhren, mit denen der Aufenthaltsort von Personen jederzeit festgestellt werden kann. Durch einen Hacker wurde das Computerfachmagazin „c’t“ des deutschen Heise-Verlags auf die Smartwatch Paladin aufmerksam gemacht. Mit Hilfe dieses Modells war es dem Hacker in Rekordzeit gelungen, den Server von Vidimensio zu knacken.

GPS-Smartphone in wenigen Minuten gehackt

Anschließende Tests durch Heise hätten massive Sicherheitslücken offenbart, sagt „c’t“ Redakteur Fabian Scherschel. In der Uhr sei ein Mikrophon eingebaut, man könne damit auch telefonieren. Dies sei wohl als Notruffunktion für besorgte Eltern gedacht. Allerdings könne auch jeder halbwegs versierte Hacker die Uhr anrufen und in der Folge den Träger der Smartwatch belauschen, ohne dass dieser das mitbekommt. Obwohl in der Produktbeschreibung explizit darauf hingewiesen wird, dass die Uhr über keine Abhörfunktion verfügt, könne sie also problemlos in eine Wanze verwandelt werden, sagt Scherschel.

GPS Tracking Uhr Paladin von Vidimensio

Screenshot: Vidimensio

Heise stuft das Modell Paladin als gefährlich ein - der Hersteller dementiert

Die Tracking-Uhren von Vidimensio wurden speziell dafür entwickelt, um Kinder, Senioren oder auch Haustiere lokalisieren, also umgangssprachlich „tracken“ zu können. Damit die Geräte funktionieren, müssen sie über das Internet kommunizieren. Diese Kommunikation habe zum Zeitpunkt der c’t-Tests völlig unverschlüsselt stattgefunden, so Scherschel. Insgesamt seien die Sicherheitsvorkehrungen derart lasch gewesen, dass jeder halbwegs versierte Computerkenner die Uhren hätte übernehmen können, meint der Experte. Selbst nachdem der Hersteller eine SSL-Verschlüsselung eingebaut habe, mit der zumindest eine verschlüsselte Netzverbindung zwischen dem Firmenserver von Vidimensio und dem Heim-PC sichergestellt ist, sei es ihm in nur 20 Minuten gelungen, die Sicherheitssperren des Firmenrechners zu überwinden. Redaktionskollegen hätten dies in nur 10 Minuten zu Wege bringen können.Vor allem deswegen, weil Vidimensios Server zum Zeitpunkt der Tests weder über einen Benutzernamen noch über ein Passwort verfügten.

Fremde könnten Kinder belauschen und sogar orten

Das sei nicht zuletzt deswegen bedenklich, weil sich das Produkt speziell an Kinder richte, meint Scherschel. Es könne nicht sein, dass jeder Fremde, der sich im Internet tummelt, jederzeit herausfinden könne, an exakt welchem Ort sich ein bestimmtes Kind zu einer bestimmten Zeit aufhält. Noch dazu, wenn etwa der Name und die Telefonnummer des Kindes auf dem Gerät gespeichert seien und man es darüber hinaus auch noch jederzeit abhören könne.

Vidimensio Werbung: Trackin Uhr und Kind

Screenshot: Vidimensio

Mit bunten Uhren können Eltern ihre Kinder genauestens überwachen

Man habe den Hersteller auf die Sicherheitslücken aufmerksam gemacht und mehrere Monate versucht, ihn von der Gefährlichkeit der Situation zu überzeugen, sagt Scherschel. Dieser habe aber überraschend wenig Interesse an der Privatsphäre seiner Kunden erkennen lassen. Er habe begonnen zu diskutieren und habe versucht zu erklären, warum er die Sicherheitslücken für nicht so gravierend halte, statt diese umgehend zu schließen, so der Experte.

Vidimensio: Haben Sicherheitslücken geschlossen

Auf Anfrage durch help.ORF.at betont Vidimensio, dass es sich bei der getesteten Uhr um eine veraltete Version der Paladin-Smartwatch gehandelt habe. Mittlerweile sei ein sicheres Modell auf dem Markt und auch eine überarbeitete App sei verfügbar. Dass es über lange Zeit Serverprobleme gegeben habe, bestätigt das Unternehmen: „Wir haben leider den unverschlüsselten Kommunikations-Port auf dem Server noch eine Zeit lang offen lassen müssen, damit unsere Kunden genug Zeit hatten, von der alten App auf die neue umzusteigen. Leider war auch eine Anruf-Weiterleitung auf dem Server verblieben. Dadurch war es möglich, einen Anruf-Befehl an die Uhr zu senden, damit diese eine Rufnummer anruft. So konnte c‘t einen „Abhör-Anruf“ starten, was ausschließlich durch einen Hackerangriff möglich war.“

Heise: Zumindest die größte Gefahr mittlerweile gebannt"

Vidimensio räumt ein, die Ernsthaftigkeit der Situation zunächst unterschätzt zu haben, man habe aber schließlich alles versucht, die Lücken zu beseitigen. Das bestätigt man auch bei Heise. Tests von c’t und heise online legen nahe, dass das öffentlich erreichbare Server-Interface abgestellt oder zumindest besser versteckt worden sei, heißt es dazu auf heise.de .

Mit der Abschaltung des Server-Interfaces sei die größte Gefahr für Träger der Uhr gebannt, so Heise. Allerdings sei die TLS-Verschlüsselung zwischen der zur Konfiguration der Uhren verwendeten App und dem Server der Firma nach wie vor relativ einfach zu knacken, wenn man Kontrolle über das Gerät hat, auf dem die App läuft. Besitzer der Uhren sollten sich der Möglichkeit bewusst sein, dass weitere Sicherheitslücken in den Geräten existieren könnten. Vidimensio auf der anderen Seite gibt an, mehrere Modelle nun bei der deutschen Bundesnetzagentur testen lassen zu wollen. Die Bundesnetzagentur ist die oberste Telekom-Regulierungsbehörde in Deutschland.

Internet der Dinge: Das unterschätzte Problem

Die Geschichte der Paladin-Smartwatch zeigt ein grundlegendes Problem auf. Es geht um das Internet der Dinge, was letztlich nichts anderes bedeutet, als dass heute eine zunehmende Zahl herkömmlicher Alltagsgeräte mit dem Internet verbunden ist. Egal, ob es sich dabei um eine Kaffeemaschine, um eine Klimaanlage oder um eine Personenwaage handelt. Viele Hersteller würden die enormen Gefahren, die im Internet lauern, nach wie vor nicht ernst genug nehmen, meint „c’t“-Redakteur Scherschel. Man dürfe nicht außer Acht lassen, dass man über ein so unscheinbares Produkt wie eine Kaffeemaschine, die im Netz kommuniziert, Zugang zum ganzen Heimnetzwerk eines Kunden bekommen kann. Auch wer über einen Kaffeeautomaten Zugang zum WLAN erhalten habe, könne Bank- oder Kreditkartendaten abgreifen, so Scherschel.

Der Experte rät daher grundsätzlich, vor jedem Kauf genau zu überlegen, ob eine in der Produktwerbung angepriesene Internetverbindung tatsächlich für den persönlichen Bedarf notwendig ist. Sollte man sich für ein internetfähiges Produkt entscheiden, sollte man eher zu bekannten Marken greifen. Zwar seien auch große Markenhersteller nicht vor Sicherheitslücken gefeit, diese würden aber deutlich schneller reagieren, um einen Imageschaden zu vermeiden. Es sei also keine gute Idee, ein No-Name-Produkt nur deswegen zu kaufen, weil es im Handel vielleicht um 50 Euro billiger ist, so Scherschel.

Paul Urban Blaha, help.ORF.at

Link:

Mehr zum Thema: