Thought Leadership
Smartwatches für Kinder sollen Eltern eigentlich Sicherheit geben. Doch Sicherheitsforscher der TU Darmstadt haben nun gravierende Schwachstellen im aktuellen Modell des Marktführers Xplora aufgedeckt. Die Ergebnisse wurden am Sonntag auf dem 38. Chaos Communication Congress (38C3) in Hamburg präsentiert.
Millionen Uhren in Europa betroffen
Der norwegische Hersteller Xplora hat nach eigenen Angaben mehr als 1,5 Millionen Smartwatches in Europa im Einsatz. Die Geräte werden als sicherer Einstieg in die digitale Welt beworben: Kinder können nur mit freigegebenen Kontakten kommunizieren, Eltern haben per App stets den Standort ihrer Sprösslinge im Blick. Doch die Realität sieht anders aus, wie die Untersuchung des Fachgebiets Sichere Mobile Netze (SEEMOO) zeigt.
“Wir wollten untersuchen, wie es um die Sicherheit und den Datenschutz von Smartwatches für Kinder bestellt ist”, erklärt Professor Matthias Hollick, Leiter des Fachgebiets. “Immer mehr Eltern nutzen diese bereits im Kindergarten- oder Grundschulalter ihrer Kinder, um stets digital mit ihnen verbunden zu sein.”
Ein Schlüssel für alle Uhren
Im Rahmen seiner Masterarbeit analysierte Malte Vu unter Betreuung von Doktorand Nils Rollshausen ein aktuelles Xplora-Modell. Das Ergebnis war alarmierend: Innerhalb weniger Tage gelang es dem Forscher, den Entwicklermodus der Uhr zu aktivieren und die Software zu extrahieren. Dabei stellte sich heraus, dass ein einziger kryptografischer Schlüssel ausreicht, um Zugriff auf sämtliche Uhren des gleichen Typs zu erlangen.
“Besonders kritisch war, dass man mit dem Auslesen des Schlüssels aus einer einzigen Uhr den vollen Zugriff auf sämtliche Uhren des gleichen Typs erlangen konnte”, so Rollshausen. Angreifer hätten damit die Möglichkeit gehabt, auf private Chats, Bilder und Sprachnachrichten zwischen Eltern-App und Kinder-Smartwatch zuzugreifen. Auch das Versenden von Nachrichten im Namen der Kinder sowie die Manipulation von Standortdaten war möglich.
Hersteller reagiert verzögert
Die Forschenden informierten Xplora bereits im Mai 2025 über die Schwachstellen. Der Hersteller implementierte im August und Oktober erste Verbesserungen, die jedoch die grundlegenden Probleme nicht beheben konnten. Aufgrund der Brisanz schalteten die Wissenschaftler das Bundesamt für Sicherheit in der Informationstechnik (BSI) ein.
Xplora hat inzwischen für Januar 2026 ein umfassendes Sicherheitsupdate angekündigt, das zeitnah installiert werden sollte. Zusätzlich will das Unternehmen sein Programm zur Meldung von Sicherheitslücken überarbeiten.
Unabhängige Prüfungen gefordert
“Die Ergebnisse unterstreichen die Bedeutung unabhängiger Überprüfungen der Sicherheit von Geräten für Kinder im digitalen Raum”, betont Hollick. Da Eltern die Sicherheit solcher Geräte in der Regel nicht selbst prüfen könnten, seien sie auf unabhängige Bewertungen und Expertenberichte angewiesen, um fundierte Entscheidungen über den Einsatz von Kinder-Smartwatches treffen zu können.
(lb/TU Darmstadt)
