• IT-Karriere:
  • Services:

Weitere App kann heimlich autorisiert werden

Eigentlich sieht das System eine Verifikation vor, wenn ein Gerät bereits einmal registriert wurde. Dazu soll ein Code eingegeben werden, der in der App des ersten Benutzers angegeben wird. Es soll aber möglich sein, ein Pairing mit einer anderen App auch ohne diesen Code durchzuführen - und ohne dass der Nutzer davon etwas mitbekommt.

Stellenmarkt
  1. Stadt Korntal-Münchingen, Korntal-Münchingen
  2. COPA-DATA GmbH, Ottobrunn, Köln, Ludwigshafen

Nach einem erfolgreichen Pairing sei es dann möglich, Live-Informationen der Smartwatch auszulesen, wie zum Beispiel den aktuellen Standort des Kindes. Mit dem Nachfolgemodell Gator 3 soll der Angriff zumindest in der beschriebenen Form nicht mehr funktionieren.

Ein ähnlicher Angriff soll auf das Gerät von Viksfjord möglich sein. Die IMEI-Adresse oder Telefonnummer reiche aus, um eine "komplette Kompromittierung" des Nutzeraccounts durchzuführen. Ein kurzer physischer Zugriff auf das Gerät soll zudem ausreichen, um weitere Geräte zu pairen. Der notwendige Registrierungscode steht auf der Rückseite und reicht als Identifikation aus.

GPS-Spoofing durch MITM

Die von den Geräten gesendeten Informationen sollen nicht nur durch heimliches Pairing unsicher sein. Bei den beiden vorgenannten Smartwatches sei es möglich, durch einen Man-in-the-Middle-Angriff gefälschte GPS-Daten zu übermitteln. Details zu dem Angriff werden derzeit noch zurückgehalten.

Angreifer könnten über die Viksfjord-Uhr außerdem mit den Kindern kommunizieren, ohne dass diese einen Einfluss darauf haben oder die Eltern davon etwas mitbekommen. "Jeder" könne einen Rückruf der Uhr auslösen, heißt es in dem Bericht. Es erscheine ein kurzer Prompt mit dem Hinweis, dass die Anrufweiterleitung aktiv sei - aber keine Benachrichtigung der Eltern in der App.

Auch die Uhr des Herstellers Xplora verrät nach Angaben der Forscher zahlreiche persönliche Daten. Es sei derzeit nicht möglich, näher darauf einzugehen, ohne Angreifern eine Möglichkeit für den Zugriff zu bieten. Geschlossen sind die Schwachstellen also offensichtlich noch nicht.

Wir haben Gator und die anderen Hersteller um Stellungnahmen gebeten. Die Webseite von Gator weist weder ein funktionierendes Impressum noch einen Pressekontakt auf.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 GPS-Tracking: Kindersmartwatches sind ein Datenschutz-Desaster
  1.  
  2. 1
  3. 2


Anzeige
Top-Angebote
  1. (u. a. Chieftec PPS-750FC 750 W Netzteil für 80,99€, Sharkoon VG4-W Tower in verschiedenen...
  2. (u. a. F1 2020 für 23,99€, Planet Zoo für 21,99€, Fortnite - Legendary Rogue Spider Knight...
  3. 499,99€ (Vorbestellungen in Märkten weiterhin möglich)
  4. 499,99€ (Vorbestellungen in Märkten weiterhin möglich)

Eheran 26. Okt 2017

Und die Medien klären wohl nicht auf weil sie mit den einzelnen Meldungen, wenn es ein...

goto10 26. Okt 2017

Das die totale Überwachung normal ist. Traurig. Die völlige und freiwillige Versklavung...

Umaru 26. Okt 2017

Bei soviel Angst wäre ein Selbstverteidigungskurs allemal sinnvoller. Ansonsten gilt...

plastikschaufel 26. Okt 2017

Ich warte echt darauf, dass eine Schule einen richtigen Drive-in einführt, sodass man die...


Folgen Sie uns
       


    •  /