Sicherheitslücken bei Kinder-Smartwatches: Forscher der TU Darmstadt decken Schwachstellen auf

Forscher der Technischen Universität Darmstadt haben erhebliche Sicherheitsmängel bei einem weitverbreiteten Modell von Kinder-Smartwatches dokumentiert. Die Untersuchungsergebnisse wurden am heutigen Tag auf dem Chaos Communication Congress in Hamburg der Öffentlichkeit vorgestellt und werfen Fragen zur tatsächlichen Sicherheit dieser Geräte auf.

Wachsende Beliebtheit digitaler Begleiter für Kinder

Smartwatches für junge Nutzer etablieren sich zunehmend als Einstiegsprodukt in die digitale Kommunikation und dürften auch während der diesjährigen Weihnachtszeit häufig verschenkt worden sein. Der norwegische Produzent Xplora, der in Europa über 1,5 Millionen solcher Geräte vertrieben hat, bewirbt seine Produkte mit Unterhaltungsfunktionen für Kinder. Eltern interessieren sich primär für die Sicherheitsaspekte: Die Geräte sollen die Kommunikation auf vorab definierte Kontakte beschränken und ermöglichen über eine Anwendung die Ortung der Kinder – so die Produktbeschreibung des Unternehmens.

Wissenschaftliche Analyse offenbart Schwachstellen

Wie belastbar diese Zusagen sind und ob die Tracking-Funktionen tatsächlich zur Sicherheit der jungen Träger beitragen, untersuchte ein Wissenschaftlerteam vom Fachgebiet Sichere Mobile Netze (SEEMOO) der TU Darmstadt. Professor Matthias Hollick, der das Fachgebiet leitet, erläutert die Motivation: „Wir wollten prüfen, wie es um Sicherheit und Datenschutz bei Smartwatches für Kinder steht. Immer mehr Eltern setzen diese bereits bei Kindergarten- oder Grundschulkindern ein, um eine dauerhafte digitale Verbindung zu gewährleisten.“

Zugang über einen einzigen Schlüssel

Im Zuge einer Masterarbeit analysierte das Team ein aktuelles Produkt des Marktführers Xplora detailliert. Malte Vu, der seine Abschlussarbeit im Frühsommer 2025 unter Anleitung von Doktorand Nils Rollshausen fertigstellte, aktivierte innerhalb kurzer Zeit den Entwicklermodus des Geräts und extrahierte die Software des Herstellers. Dabei stellte sich heraus, dass durch das Auslesen eines einzelnen Schlüssels weitreichender Zugriff auf zahlreiche Geräte möglich wurde. Rollshausen präzisiert: „Besonders problematisch war die Tatsache, dass mit dem Schlüssel aus einem einzelnen Gerät vollständiger Zugriff auf alle Uhren desselben Modells erlangt werden konnte.“

Zusätzliche Untersuchungen ergaben, dass unbefugte Dritte auf private Nachrichten, Fotos und Audiodateien zugreifen konnten, die zwischen der Eltern-Anwendung und der Kinderuhr übertragen werden.

Dies ermöglichte es zudem, Nachrichten im Namen der Kinder zu versenden und Positionsdaten zu verändern.

Reaktion des Herstellers und behördliche Einschaltung

Die Forschungsergebnisse wurden im Mai 2025 an Xplora übermittelt. Das Unternehmen implementierte in den Monaten August und Oktober 2025 erste Verbesserungsmaßnahmen, die jedoch die grundsätzlichen Sicherheitsprobleme nicht beseitigten. Angesichts der Dringlichkeit informierten die Wissenschaftler das Bundesamt für Sicherheit in der Informationstechnik (BSI). Xplora hat mittlerweile angekündigt, im Januar 2026 eine umfassende Sicherheitsaktualisierung bereitzustellen. Nutzer sollten diese zeitnah installieren. Zusätzlich plant das Unternehmen die Einführung eines verbesserten Verfahrens zur Meldung von Sicherheitslücken.

Bedeutung unabhängiger Prüfungen

Professor Hollick hebt die Relevanz der Untersuchung hervor: „Die Resultate verdeutlichen die Wichtigkeit unabhängiger Sicherheitsüberprüfungen bei Geräten für Kinder im digitalen Bereich.“ Da Eltern in der Regel keine direkte Sicherheitsanalyse durchführen können, empfiehlt er, sich auf unabhängige Evaluierungen und Fachberichte zu stützen, um informierte Entscheidungen beim Einsatz von Smartwatches für Kinder zu treffen.

Weitere Informationen
Eine Aufzeichnung des Vortrags auf dem CCC ist in Kürze unter https://seemoo.de/s/c3-xplora verfügbar

Lesen Sie auch:

---

Bild/Quelle: https://depositphotos.com/de/home.html