In unserem Vergleichstest haben wir die Sicherheit von insgesamt sechs Smartwatches für Kinder getestet. In diesem Blogbeitrag werden nun die Ergebnisse der Kinderuhr von hellOO des gleichnamigen niederländischen Herstellers vorgestellt, die mit Geofencing, Telefonie, Textnachrichten, Ortung in Echtzeit und Standort-Historie einige Funktionen im Gepäck hat.

Prüfung der App

Die hellOO-App ist nicht obfuskiert, sodass mögliche Angreifer leichteres Spiel damit haben könnten, durch Reverse Engineering die Funktionsweise der App aufzudecken. Zugangsdaten werden völlig unverschlüsselt in dem Datenspeicher der App abgelegt, der nur im Fall eines gerooteten Smartphones von anderen Personen oder Apps eingelesen werden kann. Trotzdem sollten die von Android gebotenen Möglichkeiten zur Verschlüsselung genutzt und eingesetzt werden.

Unverschlüsselte Zugangsdaten
Unverschlüsselte Zugangsdaten

Im Android Logcat werden die Anmeldedaten bei Nutzung der App ebenfalls im Klartext angezeigt.

Zugangsdaten im Android Logcat angezeigt
Zugangsdaten im Android Logcat angezeigt

Wie Abbildung 2 entnommen werden kann, wird eine aus China stammende Library verwendet. Weitere Untersuchungen haben ergeben, dass es sich bei der hellOO Kinderuhr tatsächlich um ein chinesisches und nicht um ein niederländisches Produkt handelt.

Online-Kommunikation

Die gesamte Internet-Kommunikation läuft – gänzlich unverschlüsselt – über Server in China.

Unverschlüsselte Kommunikation
Unverschlüsselte Kommunikation

Sobald sich ein User eingeloggt hat, wird ein API-Token erstellt und von nun an für weitere API-Zugriffe verwendet. Dieser Token kann auch dazu eingesetzt werden, über die API auf alle Informationen der Kinderuhr Zugriff zu erhalten. Da die Kommunikation während der Registrierung und der nachfolgenden Verwendung ohne jegliche Verschlüsselung abläuft, kann der Token leicht von Dritten abgefangen werden. Daraus ergibt sich beispielsweise, dass der aktuelle Standort oder auch der Standortverlauf des Kindes unbemerkt eingesehen werden kann.

Ein Brute-Force Angriff auf die API wäre ebenfalls möglich, da kein Rate Limiting eingesetzt wird. Im Klartext: Innerhalb kurzer Zeit können zahlreiche Angriffe ausgeführt werden, ohne dass sie blockiert werden. Auch wenn die Wahrscheinlichkeit eines erfolgreichen Angriffs bei 1:2715 liegt, sollten hier dennoch Verbesserungen vorgenommen werden.

Hardware

An einen PC angeschlossen wird die Kinderuhr als „MediaTek Inc. MT6227 phone” angezeigt. Folglich kann mithilfe der Tools des SoC-Herstellers MediaTek neue Firmware aufgespielt werden – und möglicherweise auch auf Uhr-Daten zugegriffen werden. Wird die ausgeschaltete Smartwatch über USB angeschlossen, wird sie als Wechseldatenträger erkannt, und der Download und Upload von Firmware-Dateien kann dann ganz einfach über Copy & Paste erfolgen.

Datenschutz

Die Datenschutzerklärung von hellOO bezieht sich nur auf die Webseite des Herstellers und nicht auf die Verwendung der Kinderuhr oder der App. Da die angeblich niederländische Smartwatch mit chinesischen Servern und auch noch im Klartext kommuniziert, können wir in dieser Testkategorie keine Punkte vergeben. Auch verlangt die hellOO-App eine ganze Reihe an Berechtigungen und gibt damit Anlass zu der Annahme, dass mehr Daten als notwendig gesammelt werden.

Berechtigungen der Android-App
Berechtigungen der Android-App

Fazit

In keiner einzigen Testkategorie ist es der hellOO Kinderuhr des gleichnamigen niederländischen Herstellers gelungen, Punkte zu ergattern, weshalb sie in unserem Vergleichstest daher mit 0 von 3 Sternen abschneidet.