2470856

Produktwarnung: GPS-Uhr für Kinder mit schweren Mängeln

26.11.2019 | 09:44 Uhr | Frank Ziemann

Eine Smartwatch mit GPS-Ortungsfunktion aus China verrät Jedermann den aktuellen Standort und persönliche Daten tausender Kinder weltweit. Auch die zugehörige Smartphone-App weist gravierende Sicherheitsmängel auf.

Das AV-Test Institut aus Magdeburg warnt aktuell vor der Kinder-Smartwatch SMA-WATCH-M2 des chinesischen Herstellers SMA (Shenzhen Smart Care Technology Ltd.). Sie bietet den Eltern über eine App die Möglichkeit ihr Kind mittels Echtzeit-Tracking per GPS und GSM auf Schritt und Tritt zu überwachen. Über die eingebaute SIM-Karte können Eltern und Kind miteinander telefonieren. Die Uhr sendet alle Daten unverschlüsselt an einen Server des Herstellers.

Wie AV-Test in seinem IoT-Blog berichtet, finden sich auf dem Server sehr private Daten wie Name, Adresse, Alter und Bilder sowie aktuelle GPS-Koordinaten, gespeicherte Kontakte und die an die Uhr gesendeten Sprachnachrichten – unverschlüsselt. Kennt man die ID einer solchen Uhr, kann man über die Web-API (Programmschnittstelle) der App auf diese Daten zugreifen, denn die Authentifizierung funktioniert nicht. Da diese IDs offenbar fortlaufend vergeben werden, erhält man leicht Zugang zu den Daten praktisch aller anderen registrierten Benutzer. Über eine Konfigurationsdatei in der App kann man eine beliebige ID einstellen und so das jeweilige Benutzerkonto der Eltern übernehmen, das Kind orten und mit ihm kommunizieren – Kindesentführung leicht gemacht.

AV-Test hat auf diesem Wege etwa 10.000 Nutzerkonten ermittelt, die zu Kindern und ihren Eltern gehören. Benutzer gibt es beinahe in ganz Europa, mit Schwerpunkten in den Niederlanden, Polen, Spanien und der Türkei. Auch in Deutschland finden sich, über alle Bundesländer verteilt, mehr als 400 Besitzer solcher Uhren, wie diese Karte zeigt:

geortete Kinder-Smartwatches in ganz Europa
Vergrößern geortete Kinder-Smartwatches in ganz Europa
© AV-Test

Die Uhr wurde unter der Bezeichnung „TrackerID Kinder-Smartwatch mit GPS-/GSM-/WiFi-Tracking, SOS-Taste, rosa, IP65“ beim Versandhändler Pearl angeboten, der AV-Test ein Testexemplar zur Verfügung gestellt hat. AV-Test hat Pearl über die erschreckenden Befunde informiert und vor der Veröffentlichung einen Monat Zeit gegeben, um die Mängel mit dem Hersteller zu beheben. Der Hersteller hat bislang nicht reagiert und bietet das Gerät weiterhin an, Pearl hat die Uhr jedoch umgehend aus dem Programm genommen.

Dies ist keineswegs der erste Fall dieser Art. Es muss wie in anderen Fällen davon ausgegangen werden, dass SMA die Uhr als White-Label-Produkt an diverse Anbieter liefert, die sie wie Pearl unter einer Eigenmarke vertreiben. Es könnte also weit mehr betroffene Nutzer geben. AV-Test hat neben Pearl auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) informiert. Kinder-Smartwatches aus chinesischer Billigproduktion finden sich in diversen Online-Shops. Viele weisen gravierende Sicherheitsmängel auf, eine DSGVO-konforme Datenschutzerklärung ist meist nicht vorhanden.

Mit einer solchen „Schnäppchen“-Uhr erhöhen Eltern keineswegs wie gewünscht die Sicherheit ihrer Kinder – ganz im Gegenteil. Überdenken Sie besser, ob Sie eine solche Tracking-Funktion für Ihr Kind wirklich brauchen und investieren Sie gegebenenfalls mehr Geld in eine Smartwatch eines renommierten Herstellers.

PC-WELT Marktplatz

2470856