Smartwatches für Kinder sind unsicher, wie im Oktober 2017 ein Bericht des Norwegian Consumer Council zeigte. Die staatlichen Konsumentenschützer stellten damals gravierende Mängel beim Datenschutz und bei der Datensicherheit fest.
Im Ergebnis wurde Eltern empfohlen, keine solchen Smartwatches zu kaufen und bereits gekaufte Smartwatches zu retournieren. Ausserdem informierte die norwegische Datenschutzaufsichtsbehörde die damals betroffenen Anbieter Gator, GPS FOR BARN, Tinitell und Xplora über die Ergebnisse.
Hat sich seither etwas geändert?
Leider nicht, zumindest nicht bei Gator und ähnlichen Anbietern, wie Pen Test Partners in Grossbritannien kürzlich aufgedeckt hat:
«[A] train wreck. Anyone could access the entire database, including real time child location, name, parents details etc. Not just Gator watches either – the same back end covered multiple brands and tens of thousands of watches.
The Gator web backend was passing the user level as a parameter. Changing that value to another number gave super admin access throughout the platform. The system failed to validate that the user had the appropriate permission to take admin control!
This means that an attacker could get full access to all account information and all watch information. They could view any user of the system and any device on the system, including its location. They could manipulate everything and even change users’ emails/passwords to lock them out of their watch.»
Ob die offensichtlichen Datenschutzverletzungen bereits zu Verfahren gemäss Datenschutz-Grundverordnung (DSGVO) geführt haben, ist unklar. Es dürften ohne weiteres auch Kinder in der Europäischen Union (EU) betroffen sein und seit dem 20. Juli 2018 gilt die DSGVO im gesamten Europäischen Wirtschaftsraum (EWR) einschliesslich Norwegen.
Kinder-Smartwatch: Rückruf der Europäischen Kommission für Safe-KID-One von ENOX
Im Fall einer anderen Smartwatch, der Safe-KID-One von ENOX, ordnete die Europäische Kommission erst vor wenigen Tagen einen Rückruf an, weil die «intelligente Armbanduhr für Kinder» unter anderem den Datenschutz gefährde:
«Die die Uhr begleitende mobile Anwendung hat eine unverzollte Kommunikation mit seinem Rückend-Server und dem Server ermöglicht den nicht authentifizierten Zugriff auf die Daten. Die Daten wie Standorthistorie, Telefonnummern, Seriennummer lassen sich daher leicht abrufen und verändern. Ein böswilliger Nutzer kann Befehle an die Armbanduhren senden, die ihn von seiner Wahl absetzen, mit dem Kind, das das Gerät trägt, kommunizieren oder das Kind über GPS ausfindig machen. […]»
(Ja, das ist der veröffentlichte Text der Europäischen Kommission, der vermutlich automatisch aus dem Englischen auf Deutsch übersetzt wurde.)
Damit wurde das Rapid Alert System for Non-Food Products (RAPEX) erstmals für einen Rückruf im Zusammenhang mit dem Datenschutz verwendet, wie Heise Online schreibt.
In der Schweiz wurde die Smartwatch beispielsweise bei CONRAD verkauft. Die Anleitung ist bei CONRAD momentan noch abrufbar (Sicherheitskopie) und beinhaltet unter anderem folgenden Leckerbissen auf der zweitletzten Seite:
«Wir behalten uns das Recht vor, die Geräte upzugraden ohne vorherige Benachrichtigung.»
Auf der Website von ENOX wird die zurückgerufene Smartwatch weiterhin angeboten (Sicherheitskopie). Die Anbieterin, übrigens mit Sitz in Deutschland, verweist – so Heise Online – auf ein «Missverständnis» und geht anscheinend davon aus, dass «die Smartwatch in Deutschland und dem Rest der EU unbegrenzt verkauft werden kann.«
In der Schweiz scheinen sich – soweit ersichtlich – das Bundesamt für Kommunikation (BAKOM) sowie der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) noch nicht für Kinder-Smartwatches zu interessieren.
(Auch via Bruce Schneier.)