Von der Kinderuhr zum Abhörgerät

IT-Sicherheitsexperten der FH Münster entdecken Mängel in Smartwatches für Kinder


Münster/Steinfurt (23. Oktober 2020). Ein Arbeitsplatz im Keller ist schon ungewöhnlich, ein sporadisches Büro im Tiefkeller sicherlich einmalig auf dem Steinfurter Campus der FH Münster. Ihre neue Studie verschlug Prof. Dr. Sebastian Schinzel, Leiter des Labors für IT-Sicherheit, seine Mitarbeiter Christoph Saatjohann und Fabian Ising sowie Studentin Luise Kings zeitweise genau dorthin – zwei Stockwerke unter den Gebäudeteil C. Gut abgeschirmt von der Außenwelt und anderen Empfangsgeräten richteten sie ein Mobilfunknetz ein, um sechs verschiedene Smartwatches für Kinder auf Sicherheitslücken und -risiken zu untersuchen. Das Ergebnis ihrer Arbeit in den Tiefen der Hochschule: Fünf Modelle fielen durch, lediglich eine Uhr schnitt gut ab.

„Es gibt bereits Studien über Kinder-Smartwatches. Daher ist es umso schlimmer, dass wir noch immer so viele Sicherheitslücken entdeckt haben“, erklärt Schinzel. Mit den multifunktionalen Armbanduhren können Kinder im Kindergarten- oder Grundschulalter zum Beispiel ihre Eltern anrufen sowie Sprachnachrichten verschicken und empfangen. Eltern können ihre Kinder ebenfalls anrufen und über eine Trackingfunktion sehen, wo sich ihr Kind gerade aufhält. Die Smartwatches sind dafür mit einer SIM-Karte ausgestattet und mit einer App auf dem Smartphone der Eltern verbunden. Die Idee, sich mit diesen tragbaren Mini-Computern näher zu beschäftigten, entstand im Labor für IT-Sicherheit während eines Praktikums von Lehramtsstudentin Krings. Sie führte daraufhin eine Marktanalyse durch und wählte die beliebtesten Modelle aus. Saatjohann und Ising analysierten die Technik dahinter. Ihre Tests im Tiefkeller machten sie vor Beginn der Corona-Pandemie Anfang des Jahres.

Ein großes Problem sei die Standortbestimmung. „Ein Angreifer kann beinahe mühelos in das System eindringen, die GPS-Daten manipulieren und den Eltern vorgaukeln, ihr Kind befände sich gerade in Australien“, berichtet Saatjohann. Auch auf verschickte Nachrichten oder Fotos erhält ein Hacker schnell Zugriff. Eine Schwachstelle sei dabei die Seriennummer des Geräts, die ohne zusätzliche Authentifizierung zugleich der einzige Schlüssel zur zentralen Datenbank ist. Sogar zum illegalen Abhörgerät lässt sich eine Kinder-Smartwatch umfunktionieren. „Über die deutschsprachige App haben Eltern keine Möglichkeit, von ihrem Smartphone aus die Tonaufnahme in der Kinderuhr zu aktivieren. Lädt man sich jedoch zum Beispiel die chinesische App herunter, die eine englische Übersetzungsfunktion bietet, ist das kein Problem. Man könnte zum Beispiel heimlich Gespräche zwischen Kind und Erzieherin oder Erzieher mithören“, erklärt Saatjohann. „In Deutschland ist das strafbar.“

Auf Smartwatches für Erwachsene seien die Sicherheitslücken nicht übertragbar. „Die Modelle für Kinder sind technisch viel einfacher aufgebaut und haben zum Beispiel weder WLAN noch Bluetooth. Es geht in erster Linie um das Tracking“, sagt Schinzel. Er kritisiert: „Im Prinzip spielen die Hersteller mit den Ängsten von Eltern. Indem diese ihren Kindern Smartwatches ummachen, wird ihnen eine Scheinsicherheit und Kontrollfähigkeit vermittelt. Wir haben jedoch gezeigt, dass diese Uhren in Bezug auf Datenschutz stattdessen sogar eine zusätzliche Gefahr darstellen.“

Originalpublikation: Christoph Saatjohann, Fabian Ising, Luise Krings, Sebastian Schinzel (2020): STALK: security analysis of smartwatches for kids. ARES 2020: The 15th International Conference on Availability, Reliability and Security / Editors: Melanie Volkamer, Christian Wressnegger; DOI: 10.1145/3407023.3407037




Frühere Meldungen aus unserem Fachbereich

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Weitere Informationen und die Möglichkeit zum Widerruf finden Sie in unserer Datenschutzerklärung.
Seite drucken