Eine Tracking-Uhr soll am Handgelenk von Kindern, Lebenspartnern oder Senioren für mehr Sicherheit sorgen. Bei einem Modell entdeckte ein Sicherheitsforscher in Zusammenarbeit mit der c’t jedoch eine Sicherheitslücke, mit der beliebige Träger von außen belauscht und getrackt werden können.
Und so wird die Uhr zur Wanze
Um die Abhörfunktion der Uhr zu aktivieren, bedarf es keiner Anmeldung und keinem Passwort. Bekannt sein muss lediglich die einmalige ID des Gerätes. Zu den Uhren gehören Android- und iOS-Apps des Herstellers, die über dessen Server mit der Uhr kommunizieren. (Bis vor kurzem wurden Befehle, inklusive der Geräte-ID, dabei im Klartext übertragen). Mit wenigen Handgriffen war es so möglich, die ID dieser Uhr auszulesen und die Server-Befehle mitzuschreiben. Die IDs scheinen nacheinander vergeben zu werden, was es trivial macht, die Uhren anderer Vidimensio-Kunden zu finden. Alleine mit einer Linux-Kommandozeile und der ID einer Uhr bewaffnet, kann man diese dann abhören.
Schickt man der Tracking-Uhr über den Hersteller-Server eine Telefonnummer, ruft diese daraufhin die Nummer an und der Empfänger kann alles hören, was im Umfeld der Uhr gesagt wird. Der Träger der Uhr bekommt davon nichts mit. In der Benutzeroberfläche gibt es nicht das geringste Anzeichen dafür, dass der Anruf stattfindet oder das Mikrofon der Uhr in Benutzung ist. Mit der nicht dokumentierten Funktion der Uhr kann man diese aber nicht nur abhören. Die Firma Vidimensio hat hunderte solcher Uhren verkauft. Ein Angreifer könnte die Lücken mit geringem Aufwand automatisch ausnutzen, fremde Uhren dazu zu bringen, gebührenpflichtige Nummern anzurufen und somit dem Träger Geld aus der Tasche zu ziehen
Neben der Abhörfunktion können Angreifer per Server-Befehl auch die aktuelle Position der Uhr in Echtzeit abfragen. Zusätzlich war es möglich, diese Uhr per Remote-Befehl zurückzusetzen und den Testern Zugang zum Webinterface der Paladin zu verschaffen. Auf diesem Wege hätte ein Angreifer das auf der Uhr gespeicherte Kontaktbuch und die personenbezogenen Daten auslesen können.
Der Hersteller weist in seinem Amazon-Angebot deutlich darauf hin, dass die Uhr keine Abhörfunktion besitzt.
Die 160 Euro teure Paladin ist dabei nur eines von vielen Geräten, die der Hersteller zur Personenortung anbietet. Andere Tracker-Uhren aus dem Angebot der Firma tragen fantasievolle Namen wie “Kleiner Delfin”, “Kleine Eule” und “Kleiner Drache” und sind offensichtlich speziell zur Ortung von Kindern gedacht.
Vermutlich weitere Uhrenmodelle betroffen
Es wird vermutet, dass auch andere Uhren des Herstellers ähnliche Sicherheitslücken enthalten. Die Verantwortlichen sind allerdings davon überzeugt, dass ihre Uhren sicher sind. “Die Abhörfunktion bei der Uhr Paladin wie auch bei anderen Uhren von uns” sei “abgeschaltet” worden, beteuerte Vidimensio.
Im November 2017 verbietet die Bundesnetzagentur den Verkauf von Kinderuhren mit Abhörfunktion: Klick hier zum Originalartikel der Bundesnetzagentur. Auszug aus dem Verbot:
Die Bundesnetzagentur verbietet den Verkauf von Kinderuhren mit Abhörfunktion und ist bereits gegen mehrere Angebote im Internet vorgegangen
Die Bundesnetzagentur rät Eltern, Uhren mit solchen Funktionen unschädlich zu machen und einen Nachweis darüber zu erbringen. Denn auch der Besitz eines solchen Geräts ist laut der Behörde in Deutschland strafbar. Wenn Käufer solcher Uhren der Bundesnetzagentur bekannt werden, fordert die Behörde sie nach eigenen Angaben zum Vernichten des Geräts und zur Übersendung eines entsprechenden Nachweises auf. Weigern sich die Betroffenen, den Aufforderungen der Bundesnetzagentur freiwillig nachzukommen, können sie seitens der Bundesnetzagentur mittels Verwaltungsakt dazu verpflichtet werden. Diese Verpflichtung kann mit einem Zwangsgeld von bis zu 25.000 € durchgesetzt werden
Quelle; tarnkappe
Und so wird die Uhr zur Wanze
Um die Abhörfunktion der Uhr zu aktivieren, bedarf es keiner Anmeldung und keinem Passwort. Bekannt sein muss lediglich die einmalige ID des Gerätes. Zu den Uhren gehören Android- und iOS-Apps des Herstellers, die über dessen Server mit der Uhr kommunizieren. (Bis vor kurzem wurden Befehle, inklusive der Geräte-ID, dabei im Klartext übertragen). Mit wenigen Handgriffen war es so möglich, die ID dieser Uhr auszulesen und die Server-Befehle mitzuschreiben. Die IDs scheinen nacheinander vergeben zu werden, was es trivial macht, die Uhren anderer Vidimensio-Kunden zu finden. Alleine mit einer Linux-Kommandozeile und der ID einer Uhr bewaffnet, kann man diese dann abhören.
Du musst dich
Anmelden
oder
Registrieren
um diesen Inhalt sichtbar zu machen!
Schickt man der Tracking-Uhr über den Hersteller-Server eine Telefonnummer, ruft diese daraufhin die Nummer an und der Empfänger kann alles hören, was im Umfeld der Uhr gesagt wird. Der Träger der Uhr bekommt davon nichts mit. In der Benutzeroberfläche gibt es nicht das geringste Anzeichen dafür, dass der Anruf stattfindet oder das Mikrofon der Uhr in Benutzung ist. Mit der nicht dokumentierten Funktion der Uhr kann man diese aber nicht nur abhören. Die Firma Vidimensio hat hunderte solcher Uhren verkauft. Ein Angreifer könnte die Lücken mit geringem Aufwand automatisch ausnutzen, fremde Uhren dazu zu bringen, gebührenpflichtige Nummern anzurufen und somit dem Träger Geld aus der Tasche zu ziehen
Neben der Abhörfunktion können Angreifer per Server-Befehl auch die aktuelle Position der Uhr in Echtzeit abfragen. Zusätzlich war es möglich, diese Uhr per Remote-Befehl zurückzusetzen und den Testern Zugang zum Webinterface der Paladin zu verschaffen. Auf diesem Wege hätte ein Angreifer das auf der Uhr gespeicherte Kontaktbuch und die personenbezogenen Daten auslesen können.
Der Hersteller weist in seinem Amazon-Angebot deutlich darauf hin, dass die Uhr keine Abhörfunktion besitzt.
Die 160 Euro teure Paladin ist dabei nur eines von vielen Geräten, die der Hersteller zur Personenortung anbietet. Andere Tracker-Uhren aus dem Angebot der Firma tragen fantasievolle Namen wie “Kleiner Delfin”, “Kleine Eule” und “Kleiner Drache” und sind offensichtlich speziell zur Ortung von Kindern gedacht.
Vermutlich weitere Uhrenmodelle betroffen
Es wird vermutet, dass auch andere Uhren des Herstellers ähnliche Sicherheitslücken enthalten. Die Verantwortlichen sind allerdings davon überzeugt, dass ihre Uhren sicher sind. “Die Abhörfunktion bei der Uhr Paladin wie auch bei anderen Uhren von uns” sei “abgeschaltet” worden, beteuerte Vidimensio.
Im November 2017 verbietet die Bundesnetzagentur den Verkauf von Kinderuhren mit Abhörfunktion: Klick hier zum Originalartikel der Bundesnetzagentur. Auszug aus dem Verbot:
Die Bundesnetzagentur verbietet den Verkauf von Kinderuhren mit Abhörfunktion und ist bereits gegen mehrere Angebote im Internet vorgegangen
Die Bundesnetzagentur rät Eltern, Uhren mit solchen Funktionen unschädlich zu machen und einen Nachweis darüber zu erbringen. Denn auch der Besitz eines solchen Geräts ist laut der Behörde in Deutschland strafbar. Wenn Käufer solcher Uhren der Bundesnetzagentur bekannt werden, fordert die Behörde sie nach eigenen Angaben zum Vernichten des Geräts und zur Übersendung eines entsprechenden Nachweises auf. Weigern sich die Betroffenen, den Aufforderungen der Bundesnetzagentur freiwillig nachzukommen, können sie seitens der Bundesnetzagentur mittels Verwaltungsakt dazu verpflichtet werden. Diese Verpflichtung kann mit einem Zwangsgeld von bis zu 25.000 € durchgesetzt werden
Quelle; tarnkappe
Zuletzt bearbeitet:
