Verschiedene Sicherheitsexperten aus dem Antiviren-Team von Dr. Web haben gleich vier beliebte Smartwatches (Elari Kidphone 4G, Wokka Lokka Q50, Elari FixiTime Lite und die Smart Baby Watch Q19) für Kinder einmal genauer unter die Lupe genommen und ein gravierendes Fazit gezogen. So fanden die Experten vorinstallierte Downloader, schwache Passwörter und unverschlüsselte Datenübertragungsmöglichkeiten. Demnach die würden die meisten dieser Geräte willkürlich sensible Daten sammeln und in regelmäßigen Abständen an entfernte Server übertragen, ohne dass der Benutzer davon weiß.
Diese Erkenntnis ist besorgniserregend, da diese Geräte immer beliebter werden und Eltern sie kaufen, um den Standort und die Aktivitäten ihrer Kinder zu überwachen. Am problematischsten fanden die Experten das Elari Kidphone 4G Smartwatch welches gleich drei versteckte Module aufwies, die Daten an eine zentrale Stelle übertragen und Fernbefehle empfangen. Demnach würde diese Kommunikation alle acht Stunden angestoßen. Zu den übertragenen Informationen gehören Informationen über die SIM-Karte, Geolokalisierungsdaten, Geräteinformationen, Telefonbuchkontakte, die Liste der installierten Apps, die Anzahl der SMS und der Verlauf der Telefonate.
Die Experten befürchten, dass diese versteckten Module im Elari Kidphone 4G dazu verwendet werden können, bösartige Apps zu installieren, Apps herunterzuladen, zu installieren, auszuführen oder zu deinstallieren und auch Werbung anzuzeigen, ohne dass die Besitzer davon wissen. Aber auch die anderen Smartwatches kommen nicht gut weg: So ist die Wokka Lokka Q50 recht günstig, aber über ein schwaches Standardpasswort („123456“) verfügt und alle Daten, die zwischen ihr und dem in Russland ansässigen Server übertragen werden, unverschlüsselt sind. Dies mache Man-in-the-Middle-Angriffe sehr einfach und ermöglicht es Bedrohungsakteuren, den GPS-Standort per SMS abzufragen, die Umgebung des Trägers aus der Ferne abzuhören oder sogar die Adresse des C&C-Servers in eine Adresse zu ändern.
Die Elari FixiTime Lite überträgt auch sensible Daten wie GPS-Koordinaten, Sprachnachrichten und Fotos und das über das unverschlüsselte (HTTP) Datenübertragungsprotokoll. Dieses unverschlüsselte Protokoll ermöglicht Man-in-the-Middle-Angriffe (MiTM), die es Angreifern ermöglichen, übertragene Daten abzuhören. Die Smart Baby Watch Q19 dagegen verwendet zwar ein schwaches Standardpasswort („123456“), aber laut Dr. Web wurde weitere Einfallstore nicht entdeckt.
Fazit: Eine erschreckende Feststellung der Experten. Eltern sollten aufpassen welche Smartwatch sie ihrem Kind um den Arm legen.
