Schwachstellen bei Xplora: Wenn die Kinder-Smartwatch plötzlich in Nordkorea ist

39C3

Xploras Smartwatches für Kinder sollen Eltern Sicherheit geben, doch Forscher haben schwere Lücken gefunden. Angreifbar waren über 1,5 Millionen Uhren.

30. Dezember 2025 um 12:15 Uhr / Johannes Hiltscher

Kommentare News folgen (öffnet im neuen Fenster)

Die Sicherheitslücken bei Xploras Smartwatches sind haarsträubend. (Bild: Yogendra Singh, Pexels) — Die Sicherheitslücken bei Xploras Smartwatches sind haarsträubend. Bild: Yogendra Singh, Pexels / CC0 1.0

Inhalt

Wissen, wo die Kinder sind und im Zweifel schnell nachfragen können, ohne die Ablenkungen eines Smartphones: Dieses beruhigende Versprechen macht das Unternehmen Xplora Eltern. Die Kinder-Smartwatches des Unternehmens sollen besonders sicher sein und lediglich die Kommunikation mit festgelegten Kontakten ermöglichen. Dass das Gegenteil der Fall ist, haben Sicherheitsforscher der TU Darmstadt beim 39. Chaos Communication Congress in Hamburg(öffnet im neuen Fenster) gezeigt.

Sie konnten dank gefundener Schwachstellen in der Kommunikation der Uhren mit Xploras Servern die gemeldete GPS-Position sowie Nachrichten fälschen. Und das war nicht einmal besonders schwer, wie Doktorand Nils Rollshausen in seinem Vortrag zeigte. Er betreute die Master-Arbeit von Malte Vu, in deren Rahmen beide die X6Play(öffnet im neuen Fenster) genauer untersuchten. Wie sich schnell herausstellte, handelt es sich bei der Smartwatch um ein Android-Smartphone, bei dem auch noch die USB-Datenleitungen herausgeführt sind.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)

Softwareentwickler SAP (m/w/d) naturenergie hochrhein AG, Rheinfelden (Baden) (öffnet im neuen Fenster)

(Senior) Backend Developer (m/w/d) ACE Auto Club Europa e.V., Stuttgart (öffnet im neuen Fenster)

SAP Application Manager (w/m/d) - Master Data Governance Hensoldt, Ulm (öffnet im neuen Fenster)

JIRA App Owner/in [m|w|d] Landesbetrieb IT.Niedersachsen, Hannover (öffnet im neuen Fenster)

Referent/in (m/w/d) für Glaubensinformation (FIDES) Teilzeit Erzbistum Köln, Bonn (öffnet im neuen Fenster)

IT-Administrator_in (Schwerpunkt SAP) Deutscher Caritasverband e. V., Berlin (öffnet im neuen Fenster)

Full-Stack-Developer*in Deutsche Umwelthilfe e.V., Berlin,Radolfzell am Bodensee (öffnet im neuen Fenster)

Junior E-Commerce Manager (m/w/d) Tetra GmbH, Melle (öffnet im neuen Fenster)

Der Ladeadapter führt die USB-Kontakte zwar nicht heraus, mit einem einfachen, selbstgebauten Adapter lassen sie sich aber abgreifen. Auf der Uhr konnten die Forscher anschließend den Entwicklermodus und damit USB-Debugging aktivieren. Damit ließ sich die Software auslesen und analysieren. Der Entwicklermodus war zwar mit einer vierstelligen Pin gesichert, welche Student Vu allerdings einfach mittels Durchprobieren überwinden konnte.

Ein Geheimnis für alle Uhren

Zunächst analysierten die Forscher, wie die Uhr mit den Servern von Xplora kommuniziert. Benachrichtigungen erfolgen mittels MQTT. Für die Kommunikation fordert die Uhr ein Authentifizierungs-Token an, wofür eine Reihe auf den ersten Blick zufällig wirkender, geheimer Werte zur Identifizierung der Uhr übertragen wird.

So zufällig, wie sie aussehen, sind diese Werte allerdings nicht. Sie werden per MD5-Hash(öffnet im neuen Fenster) aus einem statischen, in der Firmware codierten Geheimnis sowie der Imei(öffnet im neuen Fenster) und dem Zeitstempel abgeleitet. Auch die zur Kommunikation mit dem MQTT-Server erforderlichen API-Keys und Zertifikate ließen sich problemlos auslesen. Hier nutzt Xplora übrigens Amazon Web Services (AWS) – so viel zum souveränen Software-Ökosystem.

Mit gefundenen Daten können die Forscher beliebig selbst Authentifizierungs-Tokens anfordern. Mit diesen wiederum lässt sich im Namen der Uhr kommunizieren – und mehr.

Der einzige Lichtblick ist hierbei, dass die Imei nicht direkt erkennbar ist.