Sicherheitslücke

Kinder-Smartwatch Paladin mit groben Sicherheits-Mängeln

Gerade bei Produkten für Kinder sind die Verbraucher, beziehungsweise Eltern äußerst sensibel, wenn es um die Sicherheit ihres Nachwuchses geht. Wegen einer großen Sicherheitslücke in einer Tracking-Uhr machen sie sich völlig zu Recht Sorgen.
Von Dominik Haag

Paladin Smartwatch von Vidimensio Paladin Smartwatch von Vidimensio
Vidimensio
Eigentlich dominiert nach wie vor der Datenskandal rund um Facebook und Cambridge Analytica die Schlagzeilen, nun aber schickt sich die österreichische Firma Vidimensio an, dem amerikanischen Social-Media-Giganten schlagzeilentechnisch etwas Wasser abzugraben. Das ausgerechnet mit einem Produkt für Kinder.

Hersteller zeigt sich uneinsichtig

Paladin Smartwatch von Vidimensio Paladin Smartwatch von Vidimensio
Vidimensio
c't-Redakteur Fabian Scherschel fand in einer Investigativ-Reportage heraus, das die speziell für Kinder gedachte Smartwatch Paladin gravierende Software-Mängel aufweist. Durch diese lässt sich die Uhr kinderleicht zu einer Wanze umfunktionieren. Laut Scherschel übertrug die App, über die die Uhr gesteuert wird, bis vor Kurzem die Daten unverschlüsselt an den Server des österreichischen Herstellers, wodurch sich die ID-Nummer eines Gerätes leicht auslesen ließ.

Angreifer konnten dann mühelos die auf der Uhr gespeicherten Daten sowie die GPS-Position des Trägers in Echtzeit mitlesen. Wie die Uhr zur Wanze wird erklärt der Journalist: "Schickt man der Uhr über den Hersteller-Server eine Telefonnummer, ruft diese daraufhin die Nummer an und der Empfänger kann alles hören, was im Umfeld der Uhr gesagt wird." Entdeckt wurde diese gravierende Sicherheitslücke vom Sicherheitsforscher Christopher Dreher, der sich daraufhin an Scherschel wandte.

An einer Lösung oder Aufklärung der Probleme scheint dem Journalisten zufolge der österreichische Hersteller aber wenig Interesse zu haben: "Statt uns mitzuteilen, bis wann er die Sicherheitslücken schließen könnte, diskutierte der Firmenchef mit uns darüber, ob die Geschichte eine Veröffentlichung rechtfertige." Immerhin gab es im Anschluss Updates für die App, durch welche die Software-Abfragen nun verschlüsselt werden, "bei Redaktionsschluss war es uns aber nach wie vor möglich, allein unter Angabe der ID einer Uhr, dieser Befehle zu schicken und sie abzuhören", betont Scherschel.

Mehr zum Thema Skandal