SPIEGEL ONLINE

SPIEGEL ONLINE

06. September 2019, 18:54 Uhr

Lauschangriffe auf Kinder möglich

Forscher warnen vor unsicheren GPS-Trackern

Von

Rund 600.000 GPS-Tracker lassen sich laut Sicherheitsexperten ganz einfach per Fernzugriff auslesen und sogar für Lauschangriffe missbrauchen. Die Forscher raten vom Kauf der Billig-Peilsender aus China ab.

Spezielle Peilsender versprechen Eltern Sicherheit, indem sie immer wissen, wo sich ihr Kind befindet. Doch Sicherheitsforscher warnen nun eindringlich vor einigen GPS-Trackern: Die Sender könnten nach ihrer Einschätzung für den Nachwuchs sogar gefährlich werden.

Einem Bericht des Softwareunternehmens Avast zufolge sind etwa 600.000 Geräte weltweit von einer Sicherheitslücke betroffen, die Fremden den Zugriff auf die Peilsender ermöglicht. So könnten Kriminelle etwa Schulwege in Echtzeit auslesen, bei einigen Modellen soll sich sogar das Mikrofon für Lauschangriffe aktivieren lassen.

Die Schwachstelle wird 30 Modellen des chinesischen Unternehmens Shenzhen i365 Tech zugeschrieben, die den Forschern zufolge vor allem in Europa weit verbreitet ist. In Deutschland werden sie bei Amazon und Ebay angeboten.

Um an die Daten zu gelangen, brauchen die Angreifer keinen direkten Zugriff auf die GPS-Tracker. Stattdessen reicht es nach Erkenntnissen der Forscher, den Datenaustausch zwischen dem Webportal und dem Server anzuzapfen, auf dem die GPS-Daten gespeichert werden.

Die Ortsdaten werden laut Avast-Sicherheitsexperte Martin Hron unverschlüsselt im Klartext ausgetauscht und lassen sich daher ohne großen Aufwand mitlesen. "Das ist auf so vielen Ebenen falsch", schreibt Hron in einem Blogbeitrag. Das Standardpasswort mit den Ziffern "123456" sei da nur ein Problem, da sich die Nutzernamen aus Gerätecodes erraten lassen.

GPS-Tracker wird zur Wanze

Bedenklich ist, dass das GPS-Portal offenbar nicht nur von der App namens "Aibeile" genutzt wird, die mit den Tracker-Armbändern kommuniziert. Laut Hron greifen etwa 50 weitere Apps auf das Portal zu, die möglicherweise die gleichen Schwachstellen bei der Datenübertragung offenbaren. Mit Apps wie "Car Life" und "LKGPS" lässt sich unter anderem der Standort eines Autos auslesen.

Zum auslesbaren Datenstrom kommt hinzu, dass sich die Peilsender auch fernsteuern lassen, warnen die Forscher. In einem Versuch sei es Hron gelungen, die GPS-Tracker zu zwingen, eine bestimmte Telefonnummer anzurufen. So könne der Träger belauscht werden. Mit Befehlen über Kurznachrichten sei es zudem möglich gewesen, gezielt den aktuellen Standort abzufragen.

Die GPS-Tracker gibt es in verschiedenen Formen: Die kleinen Geräte werden in der Größe eines USB-Sticks verkauft, den man in Rucksäcke stecken kann, oder als Armbanduhr. Die Technik ist meist ziemlich simpel: Im Gehäuse stecken in der Regel ein Prozessor, ein GPS-Sensor, ein Sim-Kartenslot und bei einigen Modellen auch ein Lautsprecher mitsamt Mikrofon.

Mit dem GPS-Sensor erfasst das Gerät den aktuellen Ort und schickt die Daten über das Mobilfunknetz an einen Server. Dort können Eltern oder Haustierhalter die Daten abrufen und in Echtzeit einsehen, wo sich der Tracker gerade befindet. Unter Datenschützern ist diese Überwachungsmethode umstritten.

Forscher raten zur Markenware

Die Forscher raten von einem Kauf der Billig-Tracker ab. Man empfehle Interessenten, sich "für ein alternatives Produkt einer vertrauenswürdigeren Marke zu entscheiden, das die Sicherheit beim Produktdesign berücksichtigt", schreibt Hron. Wer bereits ein betroffenes GPS-Gerät besitzt, solle zumindest das Passwort ändern, um den Zugriff auf die Peilsender nicht noch einfacher zu machen.

Avast habe das chinesische Unternehmen auf die Sicherheitslücken aufmerksam gemacht, heißt es. Da es keine Rückmeldung gab, habe man sich nun entschieden, die Mängel öffentlich zu machen. Auch auf eine Anfrage des SPIEGEL vom Freitagmorgen hat Shenzhen i365 Tech nicht geantwortet.

URL:


© SPIEGEL ONLINE 2019
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung