Aktuelle Technik-Nachrichten » digitalweek.de
Ein Forschungsteam der TU Darmstadt hat im aktuellen Modell einer weit verbreiteten Kinder-Smartwatch gravierende Sicherheitslücken entdeckt. Die Ergebnisse wurden heute auf dem Chaos Communication Congress (CCC) in Hamburg vorgestellt.
+++ Unser kostenloser Handy-Schnäppchen Channel ist hier zu finden: Handy Deals und Aktionen (Telegram) oder Mobile Deals (WhatsApp). +++
Kinder-Smartwatches gelten zunehmend als niedrigschwelliger Einstieg in die digitale Welt und dürften auch in diesem Jahr häufig als Weihnachtsgeschenk unter dem Baum gelegen haben. Der norwegische Hersteller Xplora, mit über 1,5 Millionen verkauften Geräten in Europa einer der Marktführer, bewirbt seine Uhren mit Spielspaß und Abenteuer. Für Eltern steht hingegen der Sicherheitsaspekt im Vordergrund: Laut Hersteller sollen Kinder nur mit freigegebenen Kontakten kommunizieren können, während die zugehörige Eltern-App Standortüberwachung ermöglicht.
Wie belastbar diese Versprechen tatsächlich sind und ob solche Tracking-Uhren den Alltag von Kindern wirklich sicherer machen, untersuchte das Team des Fachgebiets Sichere Mobile Netze (SEEMOO) am Fachbereich Informatik der TU Darmstadt. „Wir wollten herausfinden, wie es um Sicherheit und Datenschutz bei Kinder-Smartwatches steht“, erläutert Fachgebietsleiter Professor Matthias Hollick. „Immer mehr Eltern setzen solche Geräte bereits im Kindergarten- oder Grundschulalter ein, um digital mit ihren Kindern verbunden zu bleiben.“
Ein Schlüssel – Zugriff auf alle Geräte
Im Rahmen einer Masterarbeit wurde ein aktuelles Xplora-Modell detailliert analysiert. Malte Vu, der seine Arbeit im Frühsommer 2025 unter Betreuung von SEEMOO-Doktorand Nils Rollshausen abschloss, gelang es innerhalb weniger Tage, den Entwicklermodus der Uhr zu aktivieren und die Software auszulesen. Dabei stellte er fest, dass das Auslesen eines einzigen Schlüssels ausreichte, um umfassenden Zugriff auf zahlreiche Uhren desselben Modells zu erhalten. „Besonders problematisch war, dass ein aus einer einzigen Uhr extrahierter Schlüssel vollständigen Zugriff auf alle Geräte dieses Typs ermöglichte“, so Rollshausen.
Weitere Untersuchungen zeigten, dass Angreifer auf private Chats, Bilder und Sprachnachrichten zugreifen konnten, die zwischen Eltern-App und Kinderuhr ausgetauscht werden. Zudem war es möglich, Nachrichten im Namen des Kindes zu versenden oder Standortdaten zu manipulieren.
Die Forschungsergebnisse wurden Xplora im Mai 2025 gemeldet. Zwar nahm der Hersteller im August und Oktober erste Verbesserungen vor, die grundlegenden Schwachstellen blieben jedoch bestehen. Aufgrund der Dringlichkeit informierten die Forschenden das Bundesamt für Sicherheit in der Informationstechnik (BSI). Xplora kündigte inzwischen ein umfassendes Sicherheitsupdate für Januar 2026 an, das zeitnah installiert werden sollte. Zusätzlich soll ein überarbeitetes Programm zur Meldung von Sicherheitslücken eingeführt werden.
„Die Ergebnisse zeigen, wie wichtig unabhängige Sicherheitsprüfungen bei digitalen Geräten für Kinder sind“, betont Hollick. Da Eltern die Sicherheit solcher Produkte meist nicht selbst beurteilen können, sei es sinnvoll, sich auf unabhängige Expertinnen- und Experteneinschätzungen zu stützen.
Weitere Informationen:
Eine Aufzeichnung des CCC-Vortrags wird in Kürze unter https://seemoo.de/s/c3-xplora verfügbar sein.
