Es ist eine fast unüberschaubare Anzahl von Geräten und Marken von denselben Sicherheitslücken betroffen. Bei über 600.000 Geräten war es das trivial zu erratene Standardpasswort "123456" vorzufinden. Darüber hinaus findet die Kommunikation zu den GPS-Trackern unverschlüsselt statt.

Die betroffenen "Smartwatches" werden ohne Hersteller-Branding (White-Label-Produkte) von einer chinesischen Firma namens Shenzen i365 hergestellt und Händler, welche die Geräte wiederum auf Amazon oder ähnlichen Marktplätzen weiterverkaufen.

Die Geräte können fast immer dasselbe: Mit einer mobilen App oder einem Webinterface können die Eltern die Position ihrer Kinder nachverfolgen und diese im Notfall über die Uhr anrufen.

Forscher des Anti-Viren-Herstellers Avast empfehlen den Eltern, die GPS-Tracker wegzuwerfen, um ihre Kinder nicht zu gefährden. Denn aufgrund der geringen Sicherheit sei es möglicht auf die genaue Position des Trägers und die Kontaktdaten der Uhren zuzugreifen. Außerdem sind das eingebaute Mikrofon und Anrufe abhörbar.

Es scheint eine Verbindung zu einem ähnlichen Fall von Anfang 2018 zu geben: Der unabhängige Sicherheitsforscher Christopher Bleckmann-Dreher hatte entdeckt, dass Kinder-Smartwatches der österreichischen Firma Vidimensio massive Sicherheitslücken aufwiesen. Die nun von Avast entdeckten Geräte scheinen zur selben Produktfamilie zu gehören oder mindestens anderweitig verwandt zu sein. Zumindest verdächtig seien so ziemlich alle GPS-Tracker zwischen 20 und 250 Euro, welche bei einem Marktplatz wie Amazon erworben wurden.

(tl, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE