Nach c't-Recherchen: Tracking-Smartwatch jetzt ohne Abhörfunktion
Besitzer von Vidimensio-GPS-Trackern können aufatmen: Sie können über die Uhren nicht mehr von Fremden aus dem Internet belauscht werden. Wenige Tage nach Veröffentlichung einer investigativen c't-Recherche schaltete der Hersteller die Funktion ab.
Bei unseren Recherchen deckten wir horrende Lücken im GPS-Tracker Vidimensio Paladin auf.
(Bild: heise online / Fabian A. Scherschel)
Smartwatches der Firma Vidimensio zur Überwachung von Kindern und Senioren enthielten ab Werk eine Funktion, mit der das Umfeld der Uhr abhörbar war. Die unsichere Umsetzung dieser Abhörfunktion führte dazu, dass Angreifer aus dem Internet ebenfalls die Träger der Uhren abhören und ihre Position tracken konnten. Die Abhörfunktion hat der Hersteller nach eigenen Angaben nun wenige Tage nach Veröffentlichung unseres Berichtes entfernt. Tests von c't und heise online legen nahe, dass das öffentlich erreichbare Server-Interface abgestellt oder wenigstens besser versteckt wurde.
Bundesnetzagentur nicht zuständig
Die Bundesnetzagentur hatte Ende 2017 vor GPS-Uhren mit ähnlichen Funktionen gewarnt, nachdem Eltern damit den Unterricht ihrer Kinder abgehört hatten. Geräte mit versteckten Abhörfunktionen dieser Art gelten in Deutschland als unerlaubte Sendeanlagen und sind damit verboten. Die Bundesnetzagentur hatte Besitzern damals empfohlen, solche Geräte zu zerstören. Auf Anfrage von heise online zu den Vidimensio-Uhren teilte die Bundesnetzagentur mit, sie sei in diesem Fall nicht zuständig, da sich jemand unrechtmäßig Zugriff auf die Uhren verschaffen muss, um sie abzuhören.
Mit der augenscheinlichen Abschaltung des Server-Interfaces ist die größte Gefahr für Träger der Uhr erst einmal gebannt. Allerdings ist die TLS-Verschlüsselung zwischen der zur Konfiguration der Uhren verwendeten App und dem Server der Firma immer noch relativ einfach zu knacken, wenn man Kontrolle über das Gerät hat, auf dem die App läuft. Das eröffnet Sicherheitsforschern weiterhin die Möglichkeit, den Netzwerkverkehr der App im Detail zu untersuchen. Besitzer der Uhren sollten sich der Möglichkeit bewusst sein, dass weitere Sicherheitslücken in den Geräten existieren könnten und von Hackern gefunden werden.
Hersteller will nichts gewusst haben
Der Hersteller der Uhren hatte nach der Veröffentlichung der Geschichte gegenüber c't und heise online behauptet, nichts von der Existenz der Abhörlücken gewusst zu haben. Und das, obwohl wir ihm im Januar die Erkenntnisse des Sicherheitsforschers Christopher Dreher zur Verfügung gestellt haben, mit denen wir die Existenz der Lücken beweisen konnten. Dreher hatte die Sicherheitsprobleme der Uhr entdeckt und sich an die c't-Redaktion gewandt. Wir hatten mehrmals versucht, den Hersteller auf die Brisanz der spezifischen Umsetzung der Abhörfunktion hinzuweisen – dabei hatte der Firmen-Vertreter von Vidimensio nie auch nur die geringsten Zweifel offengelassen, dass diese Funktion existiert und er versteht, wie sie funktioniert. (fab)
