Die Smartwatch SMA-WATCH-M2, die per SIM-Karte als GPS-Tracker funktioniert, soll Kinder schützen und Eltern ein sicheres Gefühl geben. Doch die viel verkaufte Kinderuhr eines Herstellers aus Shenzhen verrät potentiellen Angreifern die genauen Positionsdaten von über 5.000 Kindern auf rund um den Globus. Außerdem erlaubt sie das Mithören und die Manipulation vertraulicher Gespräche und anderer Informationen und beweist eindringlich, dass Massen billiger IoT-Geräte aus chinesischer Produktion weder Mindeststandards bei IT-Sicherheit noch im Datenschutz erfüllen.                                    

Kinderuhr verrät Anna

Anders als sonst üblich, startet dieser Bericht über ein im IoT-Labor des AV-TEST Instituts getestetes Gerät nicht mit technischen Angaben, sondern mit der Geschichte eines kleinen Mädchens. Sie handelt von Anna, einer Viertklässlerin aus Dortmund. Sie wohnt mit ihren Eltern im noblen Stadtteil Lücklemberg. Aktuell befindet sie sich allerdings mit ihren Großeltern im Urlaub auf der Nordseeinsel Norderney, da Annas Eltern arbeiten müssen. Anna wohnt mit ihren Großeltern in einer kleinen Pension im Ortsteil Fischerhafen. Und weil Oma und Opa nicht mehr so gut zu Fuß sind, unternimmt Anna gern allein kurze Wanderungen zum alten Hafen, denn von hier kann man mit etwas Glück Kegelrobben beobachten. Meist geht sie nach dem Essen um 14 Uhr mit Opas Fernglas los und bleibt für etwa eine Stunde auf ihrem Aussichtsposten. Anna darf diese Wanderungen ohne Oma und Opa machen, immerhin ist sie schon 10 Jahre alt und die Insel Norderney ist ein überschaubares Fleckchen Erde.

Online-Kommunikation tausender Kinder ungeschützt

Möglicherweise fragen Sie sich, warum wir Ihnen von Anna erzählen und woher wir uns im Privatleben des kleinen Mädchens so gut auskennen. Und damit wird es wieder technisch, so wie Sie es hier gewohnt sind. Denn Anna ist eines von vielen Kindern, das die Kinderuhr SMA Watch-M2 des chinesischen Herstellers Shenzhen Smart Care Technology Ltd. (kurz SMA) am Handgelenk trägt. Anna haben wir uns beliebig herausgepickt, genau so gut hätten wir Ahmet aus London oder Pawel aus Lublin in Polen wählen können. Von all diesen Kindern, insgesamt sind es über 5.000, liegen sehr private Daten, wie Name, Adresse, Alter und Bilder ungeschützt auf dem Server des Herstellers, der hinter der Kinderuhr aus Shenzen steckt. Gleichzeitig liegen hier auch alle über die Uhr übermittelten Sprachnachrichten. Noch schlimmer: Auch Echtzeit-GPS-Positionsdaten, die die Kinderuhr über die eingelegte SIM-Karte sendet, fand unser Testteam komplett unverschlüsselt auf den Servern des chinesischen Anbieters SMA. Insofern wusste unser Labor-Team nicht nur, wo Anna gerade steckt, sondern kannte auch ihren eigentlichen Wohnort, Schulweg und selbstverständlich die Kommunikation mit ihren Großeltern.

Die SMA-WATCH-M2 des chinesischen Herstellers SMA erlaubt Angreifern aufgrund schwerer Sicherheitslücken das Tracking von über 5.000 Kindern rund um den Globus.
Die SMA-WATCH-M2 des chinesischen Herstellers SMA erlaubt Angreifern aufgrund schwerer Sicherheitslücken das Tracking von über 5.000 Kindern rund um den Globus.

Responsible Disclosure: Pearl nimmt Uhr aus dem Regal

Im Rahmen der Überprüfung von Smartwatches für Kinder fanden die Ingenieure unseres IoT-Labors im Vergleichstest bereits umfassende Gründe, die gegen den Einsatz von Tracker-Uhren für Kinder sprechen. Doch die chinesische SMA-WATCH-M2 toppt die Sicherheitsversäumnisse anderer Hersteller um Längen. Das ist unter anderem ein Grund dafür, dass wir einem der deutschen Anbieter Pearl, der uns das Gerät unter der Bezeichnung „TrackerID
Kinder-Smartwatch mit GPS-/GSM-/WiFi-Tracking, SOS-Taste, rosa, IP65“ zu Testzwecken zur Verfügung stellte, im Rahmen des Responsible Disclosure-Verfahrens einen Monat Zeit bis zur Veröffentlichung dieses Artikels einräumten, um den chinesischen Hersteller zu kontaktieren und die aus unserem IoT-Labor berichteten Sicherheitsmängel beheben zu lassen. Im Unterschied zum chinesischen Hersteller reagierte Pearl vorbildlich und bietet die Kinderuhr seit der Warnung durch das AV-TEST Institut nicht mehr an.  Hersteller SMA hingegen vertreibt die Uhr weiterhin im großen Stil über diverse Distributoren weltweit. Und weiterhin klaffen die gemeldeten Lücken in der Online-Kommunikation des Produktes. Bei letzter Überprüfung vor einer Woche war es in unserem Labor weiter möglich, auf Positionsdaten, Rufnummern, Bilder und Gespräche von über 5.000 Kindern in ganz Europa zuzugreifen.

Möglich ist dies über eine völlig ungesicherte Online-Schnittstelle des Hersteller-Servers. Da darüber laufende Kommunikation gänzlich unverschlüsselt erfolgt und auch keine funktionierende Authentifizierung vorliegt. Es wird zwar ein Authentifizierungs-Token erzeugt und bei Anfragen an die Web-API mitgesendet, dass den Zugriff unberechtigter verhindern soll, allerdings wird dieses Token serverseitig nicht überprüft und ist darum funktionslos. Danach ist der direkte Zugriff auf User-IDs möglich, wie im folgenden Screenshot für die von uns registrierte und überprüfte Uhr zu sehen:

Über die ungeschützte Web-API ist der Komplettzugriff auf die umfangreichen IDs der registrierter Nutzer der SMA-WATCH-M2 möglich. Enthalten sind Namen, Adressen, Bilder, Rufnummern, aktuelle Positionsdaten und viels mehr.
Über die ungeschützte Web-API ist der Komplettzugriff auf die umfangreichen IDs der registrierter Nutzer der SMA-WATCH-M2 möglich. Enthalten sind Namen, Adressen, Bilder, Rufnummern, aktuelle Positionsdaten und viels mehr.

Die abrufbaren Daten offenbaren neben Bild, Namen und eingetragenen Adressdaten auch die IMEI des Modems der Uhr sowie Echtzeit-Koordinaten, die sich etwa über Google Maps sehr leicht und recht genau orten und anzeigen lassen. Über simple Brute-Force-Angriffe auf die ungeschützte Web-API lassen sich die entsprechenden Datensätze sämtlicher registrierter Nutzer herausfinden.

Die über die Web-API abgefangenen Positionsdaten der von uns getesteten Kinderuhr zeigen die genaue Position der Uhr zum Testzeitpunkt.
Die über die Web-API abgefangenen Positionsdaten der von uns getesteten Kinderuhr zeigen die genaue Position der Uhr zum Testzeitpunkt.

App hilft bei Ortung fremder Kinder

Doch damit nicht genug: Über eine config-Datei im App-Verzeichnis lässt sich jeder beliebige Account mit den über die Web-API verfügbaren Daten übernehmen. Dazu reicht es aus, die ermittelten User-IDs in die config-Datei der App zu schreiben. Beim Start der Applikation loggt sich die App dann automatisch und ohne eine Authentifizierung  zu verlangen, in den zur ID gehörigen Account ein. Nicht einmal eine Abfrage von Nutzer-E-Mail und Passwort wurden für solche Fälle durch die Programmierer der App vorgesehen bzw. funktionieren die dafür angedachten Mechanismen schlicht nicht. Doch selbst wenn, ließe sich diese Hürde leicht umgehen, denn auch diese Daten sind über die Schwachstelle der Web-API für jeden frei verfügbar.

Dementsprechend liefert die zur chinesischen Kinderuhr gehörige App Angreifern auch noch die Möglichkeit, komfortabel auf jeden beliebigen Account zuzugreifen und, wie der legitime Nutzer, den vollen Funktionsumfang der Eltern-App zu nutzen, inklusive Positionsbestimmung, Sprachnachrichten, Telefonie und allen weiteren Funktionen. Eine entsprechende Nachricht an andere Nutzer der App gibt es nicht. Und wie beim Großteil chinesischer IoT-Produkte, die derzeit den europäischen Markt fluten, gibt es auch für die SMA-Kinderuhr keine DSGVO-konforme Datenschutzerklärung, sondern nur eine chinesische Version.

Fazit: AV-TEST warnt vor SMA-M2-Kinderuhr!

Zusammenfassend lässt sich über die SMA-Kinderuhr sagen: Die chinesische Kinderuhr ist alles andere als ein Produkt zum Schutz für Kinder sondern im Gegenteil eine reelle Gefahr! Sie bietet potentiellen Angreifern die Möglichkeit, den Standort von über 5.000 Kindern zu ermitteln und die Daten von über 10.000 Konten der Elternteile abzugreifen. Angreifer erhalten über die Uhr Zugriff auf brisante persönliche Daten, darunter Name der Eltern, Name und Bild des Kindes, Namen und Nummern von Verwandten und Bekannten im Telefonbuch, die bei einer möglichen Kontaktaufnahme gegen das Kind verwendet werden können. Und genau diese Gefahr droht durch den ungeschützten Zugriff auf Daten zur Echtzeitpositionsbestimmung sowie der Möglichkeit der direkten Kontaktaufnahme per Anruf und Sprachnachricht. Zeitgleich lassen sich legitime Nutzer, etwa die Eltern, aus dem Account aussperren und somit wirksame Hilfe im Notfall zu unterbinden.

Die im Test erstellte Heat Map zeigt die aktuelle Position jeder Kinderuhr des chinesischen Hersteller SMA an und könnte potentielle Angreifer bis direkt vor die Wohnungstür einzelner Kindern führen.

Zum Zeitpunkt der letzten Überprüfung durch das AV-TEST Institut waren, neben Annas Konto, allein 420 Konten mit deutscher Rufnummer ermittelbar. Im Test stießen unsere Ingenieure zudem auf eine Vielzahl an Konten in der Türkei, Polen, Mexiko, Belgien, Hongkong, Spanien, den Niederlanden und natürlich China. Es steht allerdings zu befürchten, dass die gefährliche Kinderuhr, nicht zuletzt aufgrund des Kampfpreises von knapp 30 Dollar, deutlich weiter verbreitet ist. Wie auch in Deutschland wird die SMA-M2-Kinderuhr in anderen Länder ebenfalls als Eigenmarke von Importeuren vertrieben. Dementsprechend ist anzunehmen, dass die Anzahl gefährdeter Nutzer deutlich höher liegen dürfte. Entsprechend hat das AV-TEST Institut nicht nur den deutschen Distributor Pearl über die Gefahr, die von dem chinesischen IoT-Produkt ausgeht, gewarnt, sondern auch das Computer Emergency Response Team (CERT) des Bundesamts für Sicherheit in der Informationstechnik (BSI) unterrichtet.

Update (15. Januar 2020)

Nachdem das AV-TEST Institut den deutschen Anbieter der Kinderuhr Pearl über die Gefahren informierte, reagierte der Anbieter umgehend, nahm Kontakt zum chinesischen Hersteller SMA auf und veranlasste das Patchen folgender unmittelbar für Nutzer gefährlichen Sicherheitslecks: a) Übertragung von Daten durch die App „Easy Tracker“ bei Zugriff auf die API der Hersteller-Website im Klartext, b) Abstellen des Zugriffs auf die Website-API ohne Authentisierung, c) Möglichkeit der Übernahme von Nutzerkonten durch Manipulation der Konfigurationsdatei der App.