Vidimensio-GPS-Smartwatches weiterhin auspionierbar

Kleiner Sicherheitssplitter zum Wochenende. Ich denke, meine Blog-Leser haben keine Vidimensio-Smartwatches in Betrieb. Trotzdem der Hinweis: Wie Heise jetzt berichtet, können Dritte Schwachstellen in den Servern des Anbieters ausnutzen, um den Träger (Kinder oder Senioren) der Uhr remote zu tracken.


Anzeige

Altes Thema, auch hier im Blog

Das Thema Sicherheit bei Smartwatches hatten wir schon mal im Blog. Denn die EU hatte die Enox-Kinder-Smartwatch aus Sicherheitsgründen zurückgerufen (siehe meinen Blog-Beitrag hier). Hintergrund war seinerzeit, dass die Träger dieser GPS-Uhr ausspioniert werden können. Und 2017 gab es einen Rückruf der Videmensio-GPS-Tracking Uhr wegen Sicherheitsmängeln. Heise berichtete im Artikel hier über den Rückruf der GPS-Tracking-Uhr der Firma Vidimensio. Grund war damals eine Überwachungsfunktion.

Videmensio-GPS-Tracking Uhr noch erhältlich

Geht man auf die Seiten von Amazon, findet man die GPS-Tracking-Uhr der Firma Vidimensio in vielen Modellen – wie die Variante 'Kleiner Affee – schwarz' aus obigem Bild – eine Variante für Kinder zum Schleuderpreis von 120 Euro.

GPS-Tracking-Uhr der Firma Vidimensio

Es gibt das Teil aber auch in eleganter Fassung für die Ehefrau oder Partnerin – sogar mit 'ohne Abhörfunktion', wie der Hersteller für die neueste Version ausdrücklich bestätigt (siehe obige Abbildung).


Anzeige

Die Videmensio-GPS-Tracking Uhr mit Schwachstellen

Heise berichtet in diesem Artikel, dass die mit 'Abhörfunktion', die der österreichische Anbieter (Hersteller ist wohl eine chinesische Firma) nach dem oben erwähnten Rückruf durch ein Firmware-Update ausbauen wollte, nicht wirkt. GPS-Tracking-Smartwatches der österreichischen Firma Vidimensio enthalten immer noch eklatante Schwachstellen. Sicherheitsforscher Christopher Bleckmann-Dreher, der die ursprünglichen Lücken Ende 2017 entdeckte, hat sich aktuelle Modelle angeschaut. Angeblich hat Vidimensio ja die Schwachstelle geschlossen, wobei aber wohl nur die API auf dem Server deaktiviert wurde. Die GPS-Tracking-Smartwatches des Herstellers können aber nach wie vor abgehört werden. Dazu muss man lediglich die Fufnummer der in der Uhr steckenden SIM-Karte kennen, wie Heise schreibt. Vidimensio ignorierte zudem die anderen, seinerzeit von Bleckmann-Dreher entdeckten Schwachstellen.

Heise geht im Artikel auf die Details ein – so gibt es zwar eine Hersteller-like-Verschlüsselung, die der Sicherheitsforscher sofort knacken konnte. Ergebnis: Der Sicherheitsforscher konnte auf tausende dieser GPS-Tracker-Uhren zugreifen. Heise konnte nach Aussage im Artikel dutzende Uhren in kürzester Zeit aufspüren und in das Nutzerkonto einer Test-Uhr binnen Minuten eindringen.

Mittlerweile behilft sich der Sicherheitsforscher damit, dass er gefundene Uhren mit der Schwachstelle auf der Tracking-Karte mit einem PWNED! markiert – in der Hoffnung, dass deren Besitzer irgendwann auffällt, mit was sie unterwegs sind. Denn weder der Hersteller noch die Bundesnetzagentur, die eigentlich reagieren müsste, stellen sich wohl tot. Weitere Details, auch die Reaktionen des Anbieters, sind dem ausführlichen Heise-Beitrag zu entnehmen.


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.