Sicherheitslücke in Tracking-Uhr Die Smartwatch hört mit

Die Computerexperten der Fachzeitschrift "c't" warnen vor einer Tracking-Uhr des Herstellers Vidimensio. Das Gerät könne leicht gehackt und sein Benutzer abgehört werden.

Smartwatch (Symbolbild)
Getty Images

Smartwatch (Symbolbild)


Der Vorwurf wiegt schwer: Wer die GPS-Smartwatch Paladin von der Firma Vidimensio trage, könne "von Fremden belauscht oder getrackt werden", heißt es in der aktuellen Ausgabe 8/18 des Computermagazins "c't", die am 31. März erscheint. Schuld seien gravierende Mängel in der Software der Uhr.

Vidimensio ist auf GPS-Tracker spezialisiert. Auf seiner Homepage wirbt das Unternehmen für Produkte, mit denen man die Position von Haustieren, Fahrzeugen und Personen in Echtzeit aus der Ferne nachverfolgen kann. Die 160 Euro teure Paladin ist dabei nur eines von vielen Geräten, die der Hersteller zur Personenortung anbietet. Andere Tracker-Uhren aus dem Angebot der Firma tragen fantasievolle Namen wie "Kleiner Delfin", "Kleine Eule" und "Kleiner Drache" und sind offensichtlich speziell zur Ortung von Kindern gedacht.

Nach Ansicht der "c't"-Redakteure ist es allerdings zumindest bei der Paladin "kinderleicht", den Datenverkehr der Smartwatch abzuhören und Daten auszulesen. Eine gute Portion Fachwissen dürfte dafür dennoch nötig sein. Die entscheidenden Hinweise bekam die Redaktion von dem Sicherheitsforscher Christopher Dreher, der sich zuvor intensiv mit der Smartwatch und deren Software befasst hatte.

Smartwatches mit Abhörfunktion sind verboten

Demnach habe die Paladin bis vor Kurzem Daten "unverschlüsselt an den Server des österreichischen Herstellers" gesendet. Für die Experten sei es deshalb möglich gewesen, die eindeutige ID-Nummer des Geräts sowie das Passwort des mit der Uhr verbundenen Nutzerkontos bei Vidimensio auszulesen. Überdies hätten sie auf diesem Weg auch die IP-Adresse des Firmenservers in Erfahrung bringen können sowie die Befehle, die dieser annimmt.

"Schickt man der Uhr über den Hersteller-Server eine Telefonnummer, ruft diese daraufhin die Nummer an und der Empfänger kann alles hören, was im Umfeld der Uhr gesagt wird", sagt c't-Redakteur Fabian Scherschel.

Um derartige technische Möglichkeiten gab es erst vor Kurzem Wirbel: Die Bundesnetzagentur hat im November 2017 entsprechende Abhörfunktionen und Produkte mit dieser Funktion in Deutschland verboten. Bis zu diesem Verbot hätten Eltern bestimmte Smartwatches benutzen können, um nicht nur die Position ihrer Kinder zu orten, sondern auch deren Gespräche mitzuhören.

Abhören trotz Update

Die Bundesnetzagentur rät Eltern, Uhren mit solchen Funktionen unschädlich zu machen und einen Nachweis darüber zu erbringen. Denn auch der Besitz eines solchen Geräts ist laut der Behörde in Deutschland strafbar. Wenn Käufer solcher Uhren der Bundesnetzagentur bekannt werden, fordert die Behörde sie nach eigenen Angaben zum Vernichten des Geräts und zur Übersendung eines entsprechenden Nachweises auf.

Wohl auch deshalb wird die Paladin von Vidimensio auf Amazon explizit mit dem Hinweis "ohne Abhörfunktion" beworben. Nachdem die "c't" den Hersteller auf die Sicherheitslücke hingewiesen hatte, habe der seine Apps so aktualisiert, dass diese ihre Daten nun verschlüsselt mit dem Server austauschen. Das eigentliche Problem sei damit aber nicht aus dem Weg geräumt worden. "Bei Redaktionsschluss war es uns nach wie vor möglich, allein unter Angabe der ID einer Uhr dieser Befehle zu schicken und sie abzuhören", sagt Redakteur Scherschel.

mak



insgesamt 3 Beiträge
Alle Kommentare öffnen
Seite 1
Horch und Guck 29.03.2018
1. Der Hersteller und Anbieter spioniert sowieso
Dafür sind diese ganzen smarten Dinge doch da, das ist doch deren Geschäftsmodell. Und wer sich dann sowas auch noch für teuer Geld kauft, dem sollte das doch wohl auch klar sein. Und ziemlich egal sowieso, weil er/sie ja eh nichts, aber auch rein gar nichts zu verbergen hat.
migampe 29.03.2018
2. Fußfessel
Die elektronische Fußfessel war zur Überwachung von Straftätern gedacht imd heute gibt es "Dummdödel" die sich so ein Ding freiwillig ans Handgelenk schnüren. Ich fasse es nicht!
Vidimensio 08.04.2018
3. Entwarnung: Nach c't-Recherchen: Tracking-Smartwatch jetzt ohne Abhör
c't sagt: "Besitzer von Vidimensio-GPS-Trackern können aufatmen: Sie können über die Uhren nicht mehr von Fremden aus dem Internet belauscht werden. Wenige Tage nach Veröffentlichung einer investigativen c't-Recherche schaltete der Hersteller die Funktion ab." Hiermit bestätigt Vidimensio, dass das Problem nicht damit gelöst wurde, dass das "öffentlich erreichbare Server-Interface" besser versteckt wurde, sondern es wurde ganz gelöscht. Bitte hier lesen: https://www.heise.de/newsticker/meldung/Nach-c-t-Recherchen-Tracking-Smartwatch-jetzt-ohne-Abhoerfunktion-4011836.html Vidimensio
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2018
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.