Die EU ruft die Enox-Kinder-Smartwatch aus Sicherheitsgründen zurück. Hintergrund ist, dass die Träger dieser GPS-Uhr ausspioniert werden können.
Anzeige
Die Meldung zum Rückruf vom 7. Februar 2019 findet sich im RAPEX-System der EU – hier ist die englischsprachige Seite, die deutschsprachige Seite produziert lustige, maschinenübersetzte Sätze, die von unverzollter Kommunikation handeln.
Das kann die Uhr
Die Uhr kann per GPS den Standort des Kindes ermitteln. Eine App ermöglicht auf die Daten des betreffenden Trägers zuzugreifen. So sollen Eltern ermitteln können, wo sich ihr Kind aufhält. Der Anbieter der Uhr sitzt in Deutschland (dort Smart-Watch-Phone Safe-Kid-One als Produkt auswählen) und wirbt mit folgendem Text für die GPS Smart-Watch Safe-Kid-One:
Die Beschreibung beginnt mit 'Sicherheit ist hierbei die erste Priorität.', um dann eine stylische Kinderuhr mit GPS-Funktion vorzustellen, die Eltern und Kindern 'ein Stück Sicherheit in die Hand gibt'. Zitat:
Die GPS-Ortungs-Funktion ermöglicht es den Eltern jederzeit zu wissen, wo sich das Kind befindet. Befindet sich das Kind in einer Notfall Situation (Entführung, Bedrohung, findet den Nachhauseweg nicht etc.), kann das Kind durch Drucken der SOS-Tasten automatisch die vorgespeicherten Rufnummern wählen.
Der obige Text beschreibt die Funktionen der Uhr ganz gut – die Eltern können das Kind orten und das Kind kann einen Notruf auslösen, so dass die Uhr eine vorgespeicherte Telefonnummer anruft. Funktionen, die sich besorgte Eltern für ihre Kinder wünschen – das ist nachvollziehbar. Und so wird die Uhr bei Ebay für keines Geld vertickt. Allerdings scheint das Versprechen des Anbieter, 'Sicherheit ist hierbei die erste Priorität' nicht wirklich zuzutreffen – da streiten sich aktuell die 'Geister'.
Gravierende Sicherheitslücken und Rückruf?
Nachdem Island, wohl nach einem Test des Produkts, den RAPEX-Alarm ausgelöst hat, werden die Details bekannt. Die mobile App, die der Uhr mitgeliefert wird, kommuniziert, laut RAPEX-Warnung, unverschlüsselt mit ihrem Backend-Server und der Server ermöglicht einen unauthentifizierten Zugriff auf Daten. Dadurch können die Daten wie Standortverlauf, Telefonnummern, Seriennummer usw. nicht nur leicht abgerufen, sondern auch geändert werden.
Ein bösartiger Benutzer kann so Befehle an jede Uhr senden, so dass diese eine andere Telefonnummer seiner Wahl anruft. Er kann mit dem Kind, das das Gerät trägt, kommunizieren oder das Kind über GPS lokalisieren. Zudem entspricht das Produkt nicht der Richtlinie für Funkgeräte. Die EU hat daher einen Rückruf des Produkts (über die lokalen Behörden, wohn in Deutschland) angeordnet. Spiegel Online hat z.B. hier über den Fall berichtet. Aber dort findet sich noch kein Statement des Anbieters Enox.
Anzeige
Der Anbieter bestreitet den Sachverhalt
Einige Informationen finden sich auch in diesem heise.de-Beitrag. heise.de ist es gelungen, ein Statement des Anbieters Enox zu bekommen. Im Artikel wird ein Sprecher der Firma ENOX zitiert, dass die Bundesnetzagentur die Uhr im Dezember 2018 überprüft und keine Mängel gefunden habe. Die Uhr sei daraufhin für den deutschen Markt freigegeben worden – das Unternehmen geht davon aus, dass die Uhr in der EU verkauft werden durfte.
Weiterhin wird der Sprecher folgendermaßen zitiert: 'Diese RAPEX-Meldung stammt aus einem Test in Island. In unseren Augen war dieser Test übertrieben oder falsch, beziehungsweise basierte auf einem Missverständnis; eventuell der früheren Version dieser Uhr.' Mehr Details hat der Anbieter wohl nicht verraten.
Die Bundesnetzagentur hat jetzt ein Problem und untersucht den Fall. Zitat eines Sprechers gegenüber heise.de: 'Die uns in diesem Rapex-Verfahren derzeit vorliegenden Informationen sind für eine abschließende Bewertung nicht ausreichend'. Die Bundesnetzagentur wird jetzt den Fall wohl wieder aufrollen. Trifft die Warnung aus Island zu, drohen ENOX unter Umständen weitere Konsequenzen. Das Ganze ist kein Einzelfall – heise.de weist auf einen Rückruf aus 2017 hin, wo die die GPS-Tracking-Uhr der Firma Vidimensio zurückgerufen wurde. Laut heise.de nutzen viele Billig-Anbieter wohl die gleiche Server-Infrastruktur und Apps eines chinesischen Herstellers.
2015
