8.4 | 1920 Bewertung
8.4 | 1920 Bewertung
0

Unsichere GPS-Uhr für Kinder

Darauf solltest du beim Kauf einer GPS-Kinderuhr achten

GPS-Uhren für Kinder sind beliebt. Zu wissen, wo das Kind ist, und miteinander in Kontakt zu bleiben, sind Gründe für den Kauf eines solchen Produkts. Über die Sicherheit von GPS-Uhren für Kinder lesen wir immer öfter negative Berichte. „Das ist bedauerlich, weil dies ein falsches Bild der gesamten Produktgruppe vermittelt. Die Nutzung von GPS-Uhren für Kinder ist sicher, nur muss der Verbraucher wissen, welche Produkte sicher sind“, so Sander de Potter, CEO von Spotter®.

Die Fachhochschule Münster hat eine Studie durchgeführt

Anfang dieses Jahres veröffentlichte der Verbraucherverband eine Studie über GPS-Uhren, die die App „SE Tracker“ nutzen und daher nicht sicher sind. Im April 2020 untersuchte die Fachhochschule Münster die Sicherheit von GPS-Uhren für Kinder und veröffentlichte die Ergebnisse im Forschungsbericht „STALK: Security Analysis of Smartwatches for Kids“. Daraus geht hervor, dass einige Hersteller unsichere GPS-Uhren für Kinder verkaufen. In diesem Artikel besprechen wir diese Sicherheitslücken und erklären, wie der GPS-Anbieter Spotter® damit umgeht.


Die GPS-Uhren der Marke Spotter® sind absolut sicher und nutzen keine der unten genannten Hersteller, was weiter unten in diesem Artikel näher erläutert wird.

Was wurde untersucht?

In der Studie „STALK“ wurden sechs GPS-Uhren verschiedener Marken untersucht. Dabei handelte es sich um die StarlianTracker GM11, die Polywell S12, die JBC Kleiner Abenteurer, die Pingonaut Panda2, die ANIO4 Touch und die XPLORA GO. Die Hersteller JBC, Polywell, ANIO und Starlian verwendeten offenbar fast dasselbe Modell, das vom chinesischen Elektronikunternehmen 3G Electronics stammt, welches die Smartwatches als White-Label-Produkte anbietet.

Was wurde untersucht?

Die Untersuchung konzentrierte sich auf die Kommunikation zwischen den Smartwatches und dem Backend des Anbieters sowie auf die Interaktion zwischen der Smartphone-App der Eltern und dem Backend des Anbieters. Diese Interaktion erfolgt über die Internetverbindung des Smartphones.

Sicherheitslücken entdeckt

Im Rahmen der Untersuchung sind einige Sicherheitslücken zutage getreten.

Übernahme des Backends

  • Bei drei der vier Backend-Plattformen ließ sich der Standort der GPS-Uhr „fälschen“. Dadurch könnten Eltern denken, dass sich das Kind an einem anderen Standort befindet, als es tatsächlich der Fall ist.
  • Bei zwei der Plattformen ist es möglich, Sprachnachrichten von der GPS-Uhr an die Smartphone-App zu „fälschen“.
  • Und eine Backend-Plattform konnte sogar komplett übernommen werden, wodurch es möglich war, Personen mit der Uhr zu verfolgen.

Das Backend der Spotter® GPS-Uhren kann in keiner Weise übernommen werden. Die Autorisierung erfolgt auf Basis eines eindeutigen Benutzernamens und Passworts. Dies gilt auch für alle Endpunkte in der App. Diese Daten werden über eine sichere SSL-Verbindung übertragen und sind daher nicht zugänglich.

Kommunikation ohne Verschlüsselung und Authentifizierung

  • Smartwatches, die die 3G-Plattform nutzen, kommunizieren ohne Verschlüsselung und Authentifizierung mit dem Server, der Informationen von und zur Smartphone-App der Eltern weiterleitet.
  • Der Backend-Server erwies sich zudem als anfällig für SQL-Injection, wodurch ein Angreifer Zugriff auf private Daten der Nutzer erhalten könnte. Der Backend-Server von ANIO verlangt zwar, dass sich Nutzer anmelden. Ist der Nutzer jedoch angemeldet, kann er die Daten anderer Nutzer einfach einsehen, indem er seine Benutzer-ID anpasst. Diese IDs sind offenbar fortlaufend, was es leicht macht, andere Nutzer zu finden.

Bei Spotter:

  • Die gesamte Kommunikation von Spotter® ist verschlüsselt und autorisiert. Für die gesamte Kommunikation zwischen dem Spotter® GPS-Tracker und der Plattform (GSM) wird eine sichere VPN-Verbindung genutzt.
  • IDs aus einem anderen Konto können bei Spotter® aufgrund der Sicherheitsmaßnahmen auf Kontoebene auf der Spotter-Plattform ebenfalls nicht abgefragt werden. Das bedeutet, dass keine Daten abgerufen werden können, die nicht Teil des eigenen Kundenkontos sind, und auch SQL-Injection ist nicht möglich.

Datenübertragung an Server außerhalb der EU

Ein weiteres Problem, auf das die Forscher stießen, ist, dass 3G und ANIO Daten von EU-Nutzern an Server außerhalb der EU senden, ohne dies anzugeben. Damit verstoßen die Unternehmen gegen die DSGVO.

Spotter® nutzt Server innerhalb der EU und erfüllt damit die DSGVO-Vorschriften. Außerdem werden Daten nicht zu kommerziellen Zwecken an Dritte weitergegeben. 

 

Unsichere GPS-Tracker

Laut dem Forschungsbericht „STALK: Security Analysis of Smartwatches for Kids“ sind GPS-Uhren dieser Hersteller unsicher:

    \\

  1. Hersteller 3G Electronics

    2. \\

  2. Hersteller Pingonaut Panda2

    3. \\

  3. Hersteller ANIO4 TOUCH

    4. \\

  4. Hersteller XPLORA Go

\n\n \n\nIm April 2020 wurden diese Hersteller über die Ergebnisse des Untersuchungsberichts informiert. Einige Probleme wurden behoben, doch eine Reihe von Schwachstellen besteht weiterhin.

Spotter® bietet sichere GPS-Tracker für Kinder

Die GPS-Kinderuhren von Spotter® sind absolut sicher in der Anwendung. Die Produkte tragen das CE-Zeichen, was bedeutet, dass sie die Sicherheitsanforderungen aller europäischen Richtlinien erfüllen. Darüber hinaus werden für eine sichere Datenverarbeitung die höchsten Standards der Datensicherheit angewendet. Die Privatsphäre des Nutzers ist somit vollständig gewährleistet. Lies hier mehr über die Sicherheit und den Datenschutz bei Spotter®.

Quellen:
FH MÜNSTER University of Applied Sciences
Consumentenbond
Security.nl