Kleiner Sicherheitssplitter zum Wochenende. Ich denke, meine Blog-Leser haben keine Vidimensio-Smartwatches in Betrieb. Trotzdem der Hinweis: Wie Heise jetzt berichtet, können Dritte Schwachstellen in den Servern des Anbieters ausnutzen, um den Träger (Kinder oder Senioren) der Uhr remote zu tracken.
Anzeige
Altes Thema, auch hier im Blog
Das Thema Sicherheit bei Smartwatches hatten wir schon mal im Blog. Denn die EU hatte die Enox-Kinder-Smartwatch aus Sicherheitsgründen zurückgerufen (siehe meinen Blog-Beitrag hier). Hintergrund war seinerzeit, dass die Träger dieser GPS-Uhr ausspioniert werden können. Und 2017 gab es einen Rückruf der Videmensio-GPS-Tracking Uhr wegen Sicherheitsmängeln. Heise berichtete im Artikel hier über den Rückruf der GPS-Tracking-Uhr der Firma Vidimensio. Grund war damals eine Überwachungsfunktion.
Videmensio-GPS-Tracking Uhr noch erhältlich
Geht man auf die Seiten von Amazon, findet man die GPS-Tracking-Uhr der Firma Vidimensio in vielen Modellen – wie die Variante 'Kleiner Affee – schwarz' aus obigem Bild – eine Variante für Kinder zum Schleuderpreis von 120 Euro.
Es gibt das Teil aber auch in eleganter Fassung für die Ehefrau oder Partnerin – sogar mit 'ohne Abhörfunktion', wie der Hersteller für die neueste Version ausdrücklich bestätigt (siehe obige Abbildung).
Anzeige
Die Videmensio-GPS-Tracking Uhr mit Schwachstellen
Heise berichtet in diesem Artikel, dass die mit 'Abhörfunktion', die der österreichische Anbieter (Hersteller ist wohl eine chinesische Firma) nach dem oben erwähnten Rückruf durch ein Firmware-Update ausbauen wollte, nicht wirkt. GPS-Tracking-Smartwatches der österreichischen Firma Vidimensio enthalten immer noch eklatante Schwachstellen. Sicherheitsforscher Christopher Bleckmann-Dreher, der die ursprünglichen Lücken Ende 2017 entdeckte, hat sich aktuelle Modelle angeschaut. Angeblich hat Vidimensio ja die Schwachstelle geschlossen, wobei aber wohl nur die API auf dem Server deaktiviert wurde. Die GPS-Tracking-Smartwatches des Herstellers können aber nach wie vor abgehört werden. Dazu muss man lediglich die Fufnummer der in der Uhr steckenden SIM-Karte kennen, wie Heise schreibt. Vidimensio ignorierte zudem die anderen, seinerzeit von Bleckmann-Dreher entdeckten Schwachstellen.
Heise geht im Artikel auf die Details ein – so gibt es zwar eine Hersteller-like-Verschlüsselung, die der Sicherheitsforscher sofort knacken konnte. Ergebnis: Der Sicherheitsforscher konnte auf tausende dieser GPS-Tracker-Uhren zugreifen. Heise konnte nach Aussage im Artikel dutzende Uhren in kürzester Zeit aufspüren und in das Nutzerkonto einer Test-Uhr binnen Minuten eindringen.
Weekend fun. Hijack 7000 GPS watches and use them to print funny things on maps … GPS based ads is my new service :) pic.twitter.com/w1vlXwM0gf
— Ⓒhrstphⓡ ㋡ Ⓓrhⓡ (@schniggie) 31. März 2019
Mittlerweile behilft sich der Sicherheitsforscher damit, dass er gefundene Uhren mit der Schwachstelle auf der Tracking-Karte mit einem PWNED! markiert – in der Hoffnung, dass deren Besitzer irgendwann auffällt, mit was sie unterwegs sind. Denn weder der Hersteller noch die Bundesnetzagentur, die eigentlich reagieren müsste, stellen sich wohl tot. Weitere Details, auch die Reaktionen des Anbieters, sind dem ausführlichen Heise-Beitrag zu entnehmen.
Anzeige