Nils Rollshausen von der TU Darmstadt hat auf dem 39. Chaos Communication Congress (39C3) in Hamburg gravierende Schwachstellen in Kinder-Smartwatches des norwegischen Herstellers Xplora präsentiert. Der Vortrag „Watch Your Kids: Inside a Children's Smartwatch" basierte weitgehend auf den Arbeiten eines Masterstudenten, der die Sicherheitsarchitektur systematisch analysierte. Die Uhren werden nicht nur in Norwegen, sondern weltweit verkauft – nach eigenen Angaben über 1,5 Millionen Stück. In Deutschland werden sie unter anderem von der Telekom in Bundle-Deals angeboten.

„Wir sind eine kinderfressende Hexe"

Rollshausen wählte einen ungewöhnlichen narrativen Rahmen: „Für die Zwecke dieses Talks sind wir eine kinderfressende Hexe, die im Wald lebt." Das Problem der Hexe: Früher wanderten Kinder einfach zur Hütte, doch heute tragen alle GPS-Tracker und die Eltern können sie finden. „Wenn wir nicht verhungern wollen, müssen wir wohl etwas Recherche betreiben."

Der Einstieg gelang über FCC-Zulassungsdokumente, in denen Fotos eines Entwickler-Ladegeräts mit vier statt zwei Pins auftauchten. Die Forscher bastelten einen Adapter – und tatsächlich meldete sich die Uhr als USB-Gerät.

Für den Debug-Modus fragten sie sich: „Was ist die dümmste mögliche Lösung?" Mehrfaches Tippen auf die Versionsnummer, wie sonst auch bei Android. Es funktionierte. Dann erschien ein PIN-Feld. Während Rollshausen über automatisierte Angriffe nachdachte, ging der Masterstudent nach Hause und tippte zwei Stunden lang jede vierstellige Kombination manuell ein und fand die richtige Kombination.

Statische Schlüssel ermöglichen Vollzugriff

Da sich die Uhr mit aktiviertem Debug-Zugang wie ein normales Android-Gerät verhielt, konnten die Forschenden mit Standardtools als Hersteller-Apps extrahieren. Dabei fanden sie das Kernproblem: Die Authentifizierung basierte auf statischen Geheimnissen in der Firmware.

In Kombination mit öffentlich zugänglichen Daten wie Zeitstempeln und Seriennummern konnten Angreifer gültige API-Schlüssel für beliebige Uhren generieren – und damit alles tun, was die echte Uhr auch kann.

Kinder virtuell nach Pjöngjang teleportieren

Live demonstrierte Rollshausen die möglichen Folgen – weiterhin aus Hexenperspektive:

• Nachrichten mitlesen: „Sehr nützlich für die Kommunikation"
• Gefälschte Nachrichten senden: „Damit die Kinder wissen, wo sie uns finden, denn sie sind so beschäftigt mit ihren Handys, dass sie den Wald nicht mehr finden"
• Standort manipulieren: Für dies Manipulation braucht es laut Rollshausen immer zwei Versuche. Doch dann klappt die „Teleportation" – dann stand das Kind plötzlich in Pjöngjang, Nordkorea, oder einem anderen frei wählbaren Ort.
• Uhren aus der Ferne zurücksetzen: „Das sieht auf dem Bildschirm nicht sehr interessant aus", räumte er ein, bevor die Uhr auf der Bühne herunterfuhr