Um immer zu wissen, wo denn die eigenen Sprösslinge gerade sind, haben Eltern mittlerweile die Möglichkeit, mittels GPS-Uhren den Standort ihrer Kinder durchgehend abzufragen. Diese werden auf Amazon und weiteren Online-Marktplätzen verkauft. Wie Sicherheitsforscher des Anti-Viren-Herstellers Avira herausgefunden haben, handelt es sich dabei aber oftmals um billigsten China-Schrott mit horrender IT-Security. Diese legen den Erziehungsberechtigten sogar nahe, die Uhren wegzuwerfen, um die Kinder nicht zu gefährden.

Standardpasswort und unverschlüsselte Kommunikation

Die untersuchten Tracker stammen allesamt von Shenzen i365. Die Uhren werden ohne Branding und Herstellernamen vertrieben, daher ist eine Unterscheidung schwierig. Bei den geprüften Uhren fand die Übertragung unverschlüsselt und mit Standardpasswort "123456" statt. Somit konnten die Forscher theoretisch auf den Standort von rund 600.000 Nutzern zugreifen. Erschwerend dazu, könnte man mit Leichtigkeit auch mitlauschen und bei Anrufen mithören – Mikrofon der Uhr sei Dank.

2018 fiel österreichischer Hersteller bereits negativ auf

2018 deckten c't und heise online bei Kinder-Smartwatches des österreichischen Herstellers Vidimensio auf, dass man es mit IT-Security nicht ganz so ernst nimmt. Auch hier waren die gleichen Lücken vorhandeln, mit der Angreifer theoretisch ein Kind und seine Eltern ausspionieren kann. Zufall ist dies übrigens nicht: So hat Vidimensio offenbar auf Shenzen i365 als Hersteller zurückgegriffen und dieses weiterverkauft.

Problem dürfte ziemlich weitläufig sein

Das Problem dürfte somit ziemlich alle GPS-Tracker betreffen, die zwischen 20 und 250 Euro auf Amazon & Co verkauft werden und nicht von einem bekannten Smartphone-Hersteller wie Samsung und Apple stammen. Auch wenn man sich sicher sein sollte, dass der Produzent vertrauenswürdig ist, sollte man aber zumindest das Standardpasswort ändern, um es Angreifern nicht allzu leicht zu machen. (red, 9.9.2019)