Billig-Smartwatch SMA-WATCH-M2 für Kinder verrät Daten

[English]AV-TEST warnt aktuell vor einer billigen China Smartwatch (SMA Watch-M2) für Kinder. Die Uhr kann Daten des Trägers an unbefugte Dritte verraten und ermöglicht Kinder zu belästigen.


Anzeige

Warnungen vor unsicheren chinesischen Smartwatches für Kinder gab es ja schon häufiger (siehe Links am Artikelende). Nun bin ich über folgenden Tweet auf den nächsten Fall aufmerksam geworden.

Das unabhängige Testinstitut hat eine Produktwarnung für die Smartwatch SMA-WATCH-M2 des chinesischen Herstellers Shenzhen Smart Care Technology Ltd. (SMA) ausgegeben. Die Smartwatch SMA-WATCH-M2 lässt sich per SIM-Karte als GPS-Tracker verwenden. Dass soll Kinder schützen und Eltern ein sicheres Gefühl geben. Die Smartwatch wird wohl häufig gekauft. In Deutschland wurde die Smartwatch vom Anbieter Pearl unter der Bezeichnung "TrackerID Kinder-Smartwatch mit GPS-/GSM-/WiFi-Tracking, SOS-Taste, rosa, IP65" vertrieben. Pearl hatte die Smartwatch für den Sicherheitstest bereitgestellt.


(SMA-WATCH-M2, Quelle: AV-TEST)

Die Smartwatch SMA-WATCH-M2 als Datenschleuder

Die Smartwatch des Herstellers verrät potentiellen Angreifern die genauen Positionsdaten von über 5.000 Kindern auf rund um den Globus. Außerdem erlaubt sie das Mithören und die Manipulation vertraulicher Gespräche und anderer Informationen. Das haben die Tester von AV-TEST herausgefunden.

Bei der Analyse sind die Forscher auf Datensätze der Träger dieser Smartwatch gestoßen und schildern in diesem Blog-Beitrag den Tagesablauf eines 10 jährigen Mädchens aus Dortmund. Dieser Ablauf konnte über die von der Smartwatch aufgezeichnete Daten und Gespräche rekonstruiert werden.

Die privaten Daten (wie Name, Adresse, Alter und Bilder) von über 5.000 Kindern liegen ungeschützt auf dem Server des Herstellers, der hinter der Kinderuhr aus Shenzen steckt. Die Uhr übermittelt jedoch auch Sprachnachrichten, die die Kinder mit Erwachsenen austauschen, auf dem Server des Dienstanbieters. Hinzu kommen die GPS-Positionsdaten in Echtzeit, falls eine SIM-Karte eingelegt ist. Da alles unverschlüsselt ist, kann der Träger der Uhr im Verhalten und bezüglich seiner Daten von Dritten ausspioniert werden.

Die AV-TEST-Prüfer schreiben, dass Ingenieure des IoT-Labors im Rahmen der Überprüfung von Smartwatches für Kinder in Vergleichstest bereits umfassende Gründe fanden, die gegen den Einsatz von Tracker-Uhren für Kinder sprechen. Doch die chinesische SMA-WATCH-M2 toppt die Sicherheitsversäumnisse anderer Hersteller um Längen.


Anzeige

Die komplette Kommunikation zwischen Smartwatch und Servern des Anbieters erfolgt unverschlüsselt und es wird keine Authentifizierung abgefragt. Die abrufbaren Daten offenbaren neben dem Bild, dem Namen und eingetragener Adressdaten auch die IMEI des Modems der Uhr sowie Echtzeit GPS-Koordinaten. Die Koordinaten lassen sich über Dienste wie Google Maps sehr leicht und recht genau orten und anzeigen. Die Prüfingenieure haben herausgefunden, dass sich über simple Brute-Force-Angriffe auf die ungeschützte Web-API die Datensätze sämtlicher registrierter Nutzer herausfinden lassen.

Eine config-Datei im App-Verzeichnis ermöglicht nach AV-TEST-Angaben jedes beliebige Benutzerkonto zuweisen, um so über die Web-API dessen verfügbaren Daten zu übernehmen. Dazu reicht es aus, die ermittelten User-IDs in die config-Datei der App einzutragen. Wird die App gestartet, meldet sich diese ohne weitere Authentifizierung am Server unter dem zur ID gehörenden Benutzerkonto an. Somit sind die fremden Daten für Dritte leicht verfügbar.


(Heat-Map der SMA-WATCH-M2, Quelle: AV-TEST)

AV-TEST warnt explizit vor der chinesischen SMA-Kinder-Smartwatch, die laut Heatmap vor allem in Polen und in Belgien stark verbreitet zu sein scheint. Der Fall beweist einem mehr, dass die Massen billiger IoT-Geräte aus chinesischer Produktion weder Mindeststandards bei IT-Sicherheit noch im Datenschutz erfüllen.

Pearl hat, laut AV-TEST, vorbildlich reagiert, und bietet die SMA-Kinder-Smartwatch nicht mehr an. Der chinesische Hersteller hat dagegen nicht auf die Anfragen von AV-TEST reagiert. Andere Importeure aus Europa dürften die Smartwatch, die ca. 30 US $ kostet, weiterhin vertreiben.

Ähnliche Artikel:
EU ruft Kinder-Tracking-Uhr wegen Sicherheitsmängeln zurück
Bundesnetzagentur verbietet Kinder SmartWatches
Didimensio-GPS-Smartwatches weiterhin auspionierbar


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Sicherheit abgelegt und mit Datenschutz, Sicherheit, Smartwatch verschlagwortet. Setze ein Lesezeichen auf den Permalink.

8 Antworten zu Billig-Smartwatch SMA-WATCH-M2 für Kinder verrät Daten

  1. Stefan sagt:

    Es ist doch immer der selbe Mist.

    Die Firmen bauen wissentlich solche Produkte, greifen die Daten ab und dann kommt raus, dass die Daten bereits übermittelt wurden. Übermittelte Daten bekommt man nicht zurück und kann niemals davon ausgehen, dass sie gelöscht werden.

    Das ist bei der jeder Firma so, die diese Vorgehensweise ausübt.
    Erstmal alles klauen, dann kommt es raus und dann ist das Geschrei groß. Ich verstehe nicht, warum sowas nicht im Vorfeld aufgedeckt wird. Z.B. durch eine unabhängige Stelle, die die Produkte zunächst ausgiebig prüft und dann zum Verkauf freigibt.

    • Ismail sagt:

      Volle Zustimmung. Harte Strafen angesagt!

      • Tom sagt:

        Zitat:"Die Uhr kann Daten des Trägers an unbefugte Dritte verraten und ermöglicht Kinder zu belästigen."
        Sie kann es nicht nur, sie tut es auch!

        Zitat:"Pearl hat, laut AV-TEST, vorbildlich reagiert, und bietet die SMA-Kinder-Smartwatch nicht mehr an."
        Vorbildlich wäre es gewesen, dieses Produkt erst gar nicht anzubieten oder die potentiellen Käufer im Vornherein explizit darauf hinzuweisen!

        Kann mir (nach wie vor) niemand erzählen, daß die Hersteller nicht von den Möglichkeiten wussten.

  2. Bernard sagt:

    Wenn man in den USA etwas für 50 EUR bestellt, darf man als Privatperson beim Zoll EUSt. entrichten. So weit, so gut.

    Doch wenn auf einmal Chinesen illegale Produkte nach Deutschland importieren, gucken die Zöllner erst einmal weg…

    Kein Wunder, dass die Staatsverdrossenheit steigt.

    • Günter Born sagt:

      Ich würde nicht unterschreiben, dass die Zöllner wegschauen. Ich bin schon wegen 25 Euro Testbestellungen aus China (hatte das nicht mitbekommen) nach über einem Monat zum Zoll zitiert worden. Seit diesem Vorfall verkneife ich mir so was.

      Ich denke, dass aktuell nur Stichproben im Zoll rausgefischt werden.

      • Bernard sagt:

        Moment mal!

        Bei 25 EUR liegt die EUSt bei nur 4,75 Euro.

        Unter 5 Euro erhebt der Zoll gar keine Gebühren!

        Somit ist das reine SCHIKANE.

        https://www.zoll.de/DE/Privatpersonen/Postsendungen-Internetbestellungen/Sendungen-aus-einem-Nicht-EU-Staat/Zoll-und-Steuern/Internetbestellungen/internetbestellungen_node.html#doc289538bodyText2

        Zitat: "Bei einem Wert zwischen 22 Euro und 150 Euro sind die Sendungen zwar zollfrei, die Einfuhrumsatzsteuer in Höhe von 19 Prozent bzw. 7 Prozent und die Verbrauchsteuer (bei Warensendungen mit verbrauchsteuerpflichtigen Waren) sind aber zu erheben. Allerdings werden Abgaben in einer Höhe von weniger als 5 Euro nicht erhoben."

        • Günter Born sagt:

          Wenn der Zoll eine Sendung aus China herausfischt und deren Wert bezweifelt, wirst Du auch für ein 5 Euro Päckchen zum Zoll zitiert. Dort darfst Du den Wert dann nachweisen. Kann sein, dass der Wert im konkreten Fall über den als Hausnummer genannten 25 Euro lag – ist 5 Jahre her und ich durfte 15 km zum nächsten Zollamt fahren. Erinnerungsmäßig habe ich irgend etwas um die 7 Euro bezahlt – Aufwand und Ertrag standen in keinem Verhältnis und ich habe dann Tests von Zeugs aus China eingestellt.

        • Henning sagt:

          Was Günter sagt ist schon richtig. Da der Zoll aber nicht weiß was du für den Artikel bezahlt hast, können sie dich trotzdem einladen dein Zeug (mit der Rechnung/Kaufvertrag) bei denen ab zu holen. Bin da auch schon öfters wegen 20 € zeugs gewesen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.