Zu den Kandidaten unseres Tests von sechs Smartwatch-Trackern für Kinder zählt auch die Pingonaut Kidswatch. Zu den vielen Features der Kinderuhr mit dem Modellnamen Panda gehören beispielsweise die Ortsbestimmung der kleinen Schützlinge in Echtzeit, Geofencing, Telefonie sowie Sprach- und Textnachrichten. Über das, was wir dazu herausgefunden haben, berichten wir in diesem Blogbeitrag.

Prüfung der App

Aufgrund der bei wichtigen Klassen und Funktionen eingesetzten Verschleierung wird es Angreifern wirksam erschwert, durch Reverse Engineering an Informationen der App-Funktionsweise zu gelangen. Für die Authentifizierung zwischen App und Server wird ein API-Schlüssel eingesetzt, welcher zwar auf unverschlüsselte Weise, aber dafür in einem sicheren App-Ordner abgelegt ist. Da dieser Speicherbereich allerdings nur bei gerooteten Smartphones für alle lesbar ist, führt dies zu keinem Wertungsabzug. Alle Funktionen der App, von der Ortung bis hin zur Versendung von Textnachrichten, können über API-Anforderungen angesteuert werden.

Die App verwendet SSL-verschlüsselte Verbindungen für jede Art der Kommunikation, Certificate Pinning wird dabei allerdings nicht eingesetzt. Ein Man-in-the-Middle-Angriff wäre somit möglich, wenn User dazu gebracht werden, einem speziell dafür ausgelegten Zertifikat zu vertrauen und es zu installieren.

Online-Kommunikation

TLS1.2-Verschlüsselung wird durchgängig bei der gesamten Online-Kommunikation der Pingonaut-App verwendet und schützt sie damit vor einfachen Replay- als auch MitM-Attacken. Auch bei Verbindungen zu Servern von Drittanbietern werden ausschließlich verschlüsselte Kanäle genutzt.

1.TLS1.2-verschlüsselte Kommunikation
TLS1.2-verschlüsselte Kommunikation

Eine Begrenzung der Datenrate findet über die API (api.lokato.info) des Herstellers nicht statt, was wiederum bedeutet, dass innerhalb kurzer Zeit zahlreiche Brute-Force-Angriffe ausgeführt werden können, ohne dass dies erkannt oder geblockt wird. Die Wahrscheinlichkeit einer erfolgreichen Attacke liegt mit (1:3236) in einem sehr niedrigen Bereich, dennoch würden wir empfehlen, diesen Aspekt zu beheben.

 

Datenschutz

Die Datenschutzerklärung für die Kidswatch von Pingonaut ist leicht verständlich, und Nutzer werden mit klaren Worten darüber informiert, wie und für welchen Zweck Daten verarbeitet werden. Gemäß der Erklärung werden vom Hersteller keine Daten mit Dritten geteilt und Standortdaten nach 30 Tagen gelöscht. Die Verarbeitung der Daten erfolgt in Deutschland und in anonymisierter Form. Sollte eine Verarbeitung in den USA erforderlich sein, arbeitet der Hersteller nur mit solchen Dienstleistern zusammen, die sich den Grundsätzen des EU-US Privacy Shield verpflichten und somit Datenschutz auf EU-Level gewährleisten.

Die Android-App benötigt nur wenige, für ihre Funktionsweise notwendige Berechtigungen:

  • Lokalisierung: Eltern können auf einer Karte nachverfolgen, wo ihr Kind sich gerade aufhält
  • Mikrofon: Sprachnachrichten können aufgezeichnet werden
  • Speicher: Sprachnachrichten können gesichert werden
Berechtigungen der Android-App
Berechtigungen der Android-App

Fazit

Beim Datenschutz und bei der Sicherheit kann der deutsche Hersteller Lokato mit einer souveränen Lösung punkten und erhält somit eine Maximalwertung von drei Sternen in unserem Vergleichstest.