Nach wie vor sind smarte Gadgets mit Ortungsfunktion hoch gefragt. Das nicht nur bei (über)besorgten Eltern, sondern immer mehr auch dann, wenn es darum geht, ältere und pflegebedürftige Menschen im Auge zu behalten.  Bereits 2019 betrachteten wir in einem Initiativtest eine Kinder Smartwatch (SMA-WATCH-M2), die denselben Zweck erfüllen sollte. Unser Urteil damals war zurecht verheerend und führte schlussendlich zum Verkaufsstopp in Deutschland. Im Rahmen unseres Quick Checks dachten wir nun, es wäre mal wieder an der Zeit, ein Gerät aus dieser Sparte herauszupicken und unter die Lupe zu nehmen. Unsere Wahl fiel dabei auf die Watch Air vom niederländischen Hersteller Spotter. Ob auch hier, wie im 2019er Test, wieder sämtliche Testingenieur-Nackenhaare zu Berge standen, soll der folgende Testbericht klären. Aber direkt vorweg: Ganz so gruselig wird es diesmal nicht. 

Merkmale

Von der Ausstattung her bietet die Spotter-Uhr prinzipiell alles, was man hier auch erwartet: Natürlich GPS-Ortung, Geo-Fencing, Anruffunktion, Schrittzähler, einen SOS-Alarm und Weckfunktionen. Das Ganze steckt in einem IP67-zertifizierten, wasser- und staubdichten Gehäuse – Für den angedachten Benutzerkreis also völlig ausreichend. Das Gerät wird außerdem mit einer bereits eingelegten SIM-Karte und Service für einen Monat ab Registrierung ausgeliefert. Was uns hierbei aus Benutzersicht etwas verstimmte, war der Fakt, dass die Uhr praktisch nicht mit einer eigenen SIM betrieben werden kann – oder besser: Dies keinen Sinn ergibt. Zwar hindert den Nutzer nichts daran, eine eigene SIM zu benutzen, möchte er aber die Ortungsfunktion der Uhr auch nutzen, muss er zwangsläufig den Service von Spotter selbst zusätzlich kostenpflichtig buchen. Soweit gehen die meisten anderen Anbieter, die wir bisher im Test hatten, nicht. Sicherheitstechnisch ist dieser Punkt aber natürlich irrelevant.

Applikationen

Die Applikationen auf Android und iOS sorgten im Test für die erste Überraschung: Unsere automatisierte, statische Analyse bewertet beide Apps mit Scores von 70%. Das klingt im ersten Moment nicht überwältigend, aber im Vergleich zu den durchschnittlichen Ergebnissen, die wir hier bekommen, handelt es sich tatsächlich um einen sehr guten Wert. Die statische Analyse findet im Normalfall auch bei praktisch sicheren Applikationen eine Menge theoretischer Schwachpunkte, die in den seltensten Fällen und Szenarien ausgenutzt werden können, aber die Bewertung insgesamt trotzdem oft (und mitunter weit) unter 50% landen lassen. Hier bieten die Spotter-Applikationen also auf dem Papier vergleichsweise wenig theoretisches Angriffspotential. Theoretisch.

Sieht man sich die Applikationen aber genauer an, wird schnell klar, woher das vermeintlich gute Ergebnis kommt. Die statische Analyse untersucht nämlich den dekompilierten Quellcode (bzw. den Bytecode selbst) der Applikationen und sucht in den implementierten Methoden und Funktionen nach bekannten und potentiellen Schwachstellen. So weit, so normal. Bei der Spotter-App ist es allerdings so, dass der App-Quellcode selbst nur als Wrapper für eine Implementation in JavaScript dient, die als Asset an die Applikation angehängt ist und die eigentliche Funktionalität enthält. Der in der statischen Analyse untersuchte Quellcode hat also quasi keine Funktionalität und somit logischerweise auch so gut wie keine Schwachstellen.

JavaScript-Dateien in den Assets der .apk

Die Umsetzung über JavaScript in angehängten Skripten hat für den Entwickler den Vorteil, dass die Implementation für Android, iOS und Browser vollkommen identisch ist und lediglich der entsprechende Wrapper angepasst werden muss. Aus sicherheitstechnischer Sicht hat das Ganze allerdings ein paar Haken. So wird vor allem das Reverse-Engineering immens erleichtert. Wo man durch die Dekompilierung im Normalfall nur eine einigermaßen gute und selten vollständige Repräsentation des Codes bekommt, die oft durch eine Code-Obfuskierung nur schwerlich menschenlesbar ist, liegt hier der originale Code vor – vollständig, ohne Obfuskierung und sogar kommentiert. So lässt sich die komplette Kommunikation und Web-API komfortabel nachvollziehen und nach potentiellen Schwachstellen durchsuchen.  Funktionen und Klassen, die die Kommunikationssicherheit realisieren und konfigurieren, wie beispielsweise der zur Zertifikatsvalidierung notwendige Trustmanager unter Android, sind auf diese Weise natürlich auch nicht umgesetzt. Die praktischen Konsequenzen werden im nächsten Abschnitt erläutert.

Abgesehen davon gibt es zur statischen Analyse der Applikationen dann auch nicht mehr viel Interessantes zu vermelden: Die Berechtigungen der Applikationen sind dem angedachten Funktionsumfang entsprechend angebracht und auch Tracker-technisch gibt es keine Indizien für eine exzessive Datensammlung. Als Tracker mit Eintrag in der Exodus Privacy Datenbank ist lediglich das Firebase Analytics Modul von Google enthalten.

Kommunikation

Die Spotter Watch Air selbst besitzt keine WiFi-Fähigkeiten und kommuniziert dementsprechend ausschließlich über Mobilfunk. Hierzu gibt es sicherheitstechnisch auch nicht viel mehr zu berichten. Dass die Kommunikation über Mobilfunk grundsätzlich nicht als angriffssicher angesehen werden kann, ist allgemein bekannt und dass einige Angriffsszenarien gerade für die Benutzung dieser Geräte mit Kindern bestehen (Anrufer-/Nummern-Spoofing bspw.), hatten wir bereits in unserem ersten Kinderuhren-Test in 2019 zu Bedenken gegeben. Daran ändert sich auch für die Spotter Watch Air nichts. Die Problematik ist allerdings der Natur der Sache geschuldet und kann dem Produkt selbst natürlich nicht vorgehalten werden.

Was wir allerdings bewerten können, ist die Kommunikation, die zwischen den dazugehörigen Applikationen und den Hersteller-Online-Diensten stattfindet. Und hier gibt es vor allem ein großes Problem, dass sich durch die gesamte Kommunikation zieht: Sie kann quasi vollständig mitgelesen werden. Wo wir mittlerweile das alte klassische Problem der komplett unverschlüsselten Kommunikation im IoT kaum noch beobachten können, treffen wir nun immer wieder den neuen Klassiker der vollständig verschlüsselten, aber leicht zu brechenden Kommunikation an. So lassen sich bei den Spotter-Applikationen durch einen simplen Man-in-the-Middle-Angriff sämtliche Prozesse, inklusive Authentifizierung, Gerätelokalisierung und Nutzerdetails mitlesen, manipulieren oder replayen – eine adäquate Zertifikatsvalidierung beim Verbindungsaufbau zum Server findet also nicht statt und eine Verwendung der Applikationen in einem öffentlichen WLAN ist dementsprechend absolut nicht zu empfehlen. Hier sollte der Hersteller dringend versuchen nachzubessern, auch wenn wir uns nicht sicher sind, dass dies in der aktuellen, unkonventionellen Realisierung ohne weiteres möglich ist.

Login mit eMail und Passwort in verschlüsselt übertragenem Klartext
Mitgelesene Geräteinformationen

Im Rahmen des Quick Checks haben wir uns auch die Web-API angesehen, um vor allem zu überprüfen, ob hier noch mehr potentielle Schwachstellen versteckt sind, die möglicherweise einen Zugriff auf Nutzerdaten oder andere Geräte und Nutzerkonten zulassen. Hier sind wir, dem engen Rahmen des Quick Checks geschuldet, nicht in die Tiefe vorgedrungen, haben uns aber die Funktionen angesehen, die auch die Applikationen verwenden, um Informationen zu Nutzern oder Geräten abzufragen. Bei nicht abgesicherten APIs kann man hier oft durch einfache Manipulationen, beispielsweise von Geräte- und Nutzer-IDs, in den entsprechenden Requests, Zugriff auf Daten oder Funktionen erhalten, die eigentlich außerhalb  des eigenen Rechtebereichs liegen. Hier können wir aber insoweit Entwarnung geben, dass wir zumindest nicht auf offensichtliche Probleme gestoßen sind. Hier und da fielen uns ein paar Eigenarten auf, die aber in keinem der Fälle direkt als Problem anzusehen waren. So ist beispielsweise die Nutzer-ID, die im Login-Request mit eMail und Passwort zusammen übertragen wird, fest im Code definiert (hard-coded) und somit für alle Nutzer gleich. Sie kann beim Login aber auch weggelassen werden und wird dementsprechend auf Serverseite sowieso nicht überprüft – Zumindest seltsam.

Die hard-coded client-ID ist noch „TODO“

Außerdem bekamen wir bei einer Lokalisierungsanfrage an den Server zu einer geratenen Geräte-ID immer nur ein „Device not found!“ zurück und nicht etwa ein „Access denied!“. Hier können wir uns also nicht sicher sein, ob wir lediglich im falschen ID-Bereich geraten haben oder uns hier tatsächlich der Zugriff verweigert wurde. Im Test hatten wir leider auch nur ein Exemplar zur Verfügung, sodass wir hier nicht anhand von zwei garantiert validen IDs testen konnten. Abgesehen von ein paar Indizien gab es hier also nichts hieb- und stichfestes zu beanstanden –  zumindest nicht schon nach einem einfachen Quick Check.

Datenschutz und Privatsphäre

Im Bereich Datenschutz und Privatsphäre gibt es dann aber erfreulich wenig zu berichten. Wie bereits angemerkt, sind in den Applikationen keinen Werbetracker enthalten und auch im Betrieb konnten wir keine Indizien in der Kommunikation ausmachen, die eine unangebrachte Datensammlung vermuten lassen würden.

Die Datenschutzerklärung zum Produkt ist durchaus umfangreich und informiert ausreichend detailliert über alle wichtigen Punkte die Datensammlung, – haltung und -verarbeitung betreffend. Der enthaltene Google Analyse-Tracker wird ebenfalls erwähnt und sein Zweck sowie die gesammelten Daten erläutert. Natürlich gibt es gerade in diesem Bereich immer Raum für Verbesserung im Detail, aber insgesamt sahen wir hier keinen Grund für ernsthafte Kritik.

Fazit

Wie in der Einleitung bereits angekündigt, ist unser Urteil zur Spotter Watch Air nicht ganz so vernichtend, wie in unserem letzten Test zu einem vergleichbaren Produkt. Der Fakt, dass allerdings die vollständige Kommunikation von und zur mobilen Applikation abhörbar und manipulierbar ist, erlaubt insgesamt nicht mehr als 1 von 3 möglichen Sternen. Und dies auch nur, weil das Produkt datenschutztechnisch solide dasteht.