idw – Informationsdienst Wissenschaft
Nachrichten, Termine, Experten
Nachrichten, Termine, Experten
idw - Informationsdienst
Wissenschaft
Darmstadt, 29. Dezember 2025. Ein Forschungsteam der TU Darmstadt hat Sicherheitslücken im aktuellen Modell einer weit verbreiteten Kinder-Smartwatch identifiziert. Die Ergebnisse wurden heute auf dem Chaos Communication Congress (CCC) in Hamburg vorgestellt.
Smartwatches für Kinder werden als Einstieg in die digitale Welt immer beliebter und lagen wahrscheinlich auch in diesem Jahr vielfach unter Weihnachtsbäumen. Der mit mehr als 1,5 Millionen Smartwatches in Europa stark vertretene norwegische Hersteller Xplora wirbt mit Spielspaß und Abenteuer für die Kinder. Für die Eltern steht jedoch die Sicherheit im Vordergrund: Die Kinder können nur mit ausgewählten Kontakten über Text und Sprachnachrichten kommunizieren, und in der Eltern-App lässt sich der Standort der Kinder überwachen – so zumindest die Werbeaussage des Herstellers.
Aber wie viel Wahrheit steckt hinter diesen Versprechungen? Und machen diese Tracking-Smartwatches den Alltag der Kinder tatsächlich sicherer? Diese Frage beschäftigte ein Team des Fachgebiets Sichere Mobile Netze (SEEMOO) am Fachbereich Informatik der TU Darmstadt. „Wir wollten untersuchen, wie es um die Sicherheit und den Datenschutz von Smartwatches für Kinder bestellt ist“, erklärt Fachgebietsleiter Professor Matthias Hollick. „Immer mehr Eltern nutzen diese bereits im Kindergarten- oder Grundschulalter ihrer Kinder, um stets digital mit ihnen verbunden zu sein.“
Einen Schlüssel auslesen, auf alle Uhren zugreifen
Im Rahmen einer Masterarbeit wurde ein aktuelles Modell des Marktführers Xplora genauer analysiert. Malte Vu, der seine Abschlussarbeit im Frühsommer 2025 unter der Betreuung von Nils Rollshausen, Doktorand am Fachgebiet SEEMOO, abgeschlossen hat, konnte innerhalb weniger Tage den Entwicklermodus der Uhr aktivieren und Xploras Software extrahieren. Anschließend stellte er fest, dass ein Angreifer durch das Auslesen eines einzigen Schlüssels tiefgreifenden Zugriff auf eine Vielzahl von Uhren erlangen konnte. „Besonders kritisch war, dass man mit dem Auslesen des Schlüssels aus einer einzigen Uhr den vollen Zugriff auf sämtliche Uhren des gleichen Typs erlangen konnte”, sagt Rollshausen.
Weitere Tests zeigten, dass Angreifer Zugriff auf die privaten Chats, Bilder und Sprachnotizen erlangen können, die zwischen der Eltern-App und der Kinder-Smartwatch ausgetauscht werden. Dies ermöglichte es Angreifern unter anderem, Nachrichten im Namen von Kindern an die Eltern-App zu senden und die Standortdaten zu manipulieren.
Die Ergebnisse wurden im Mai 2025 an Xplora übermittelt. Xplora implementierte im August und Oktober 2025 erste Verbesserungen, die jedoch die grundlegenden Schwachstellen nicht behoben. Aufgrund der Dringlichkeit des Problems schalteten die Forschenden das Bundesamt für Sicherheit in der Informationstechnik (BSI) ein. Xplora hat als Reaktion inzwischen angekündigt, eine umfassende Sicherheitsaktualisierung für den Januar 2026 bereitzustellen. Dieses Update sollte zeitnah installiert werden. Darüber hinaus werde ein überarbeitetes Programm zur Meldung von Sicherheitslücken implementiert.
„Die Ergebnisse unterstreichen die Bedeutung unabhängiger Überprüfungen der Sicherheit von Geräten für Kinder im digitalen Raum”, betont Hollick. Da eine direkte Prüfung der Sicherheit durch Eltern in der Regel nicht möglich ist, sei es ratsam, sich auf unabhängige Bewertungen und Berichte von Expertinnen und Experten zu verlassen, um fundierte Entscheidungen über den Einsatz von Smartwatches für Kinder zu treffen.
Nils Rollshausen
nrollshausen@seemoo.tu-darmstadt.de (präferiert)
Telefon: 01578/2025218
Professor Matthias Hollick
mhollick@seemoo.tu-darmstadt.de
Telefon: 0151/12290060
https://Eine Aufzeichnung des Vortrags auf dem CCC ist in Kürze unter https://seemoo.de/s/c3-xplora verfügbar.
Criteria of this press release:
Business and commerce, Journalists, Scientists and scholars, Students, Teachers and pupils, all interested persons
Information technology, Media and communication sciences
transregional, national
Miscellaneous scientific news/publications, Research results
German
You can combine search terms with and, or and/or not, e.g. Philo not logy.
You can use brackets to separate combinations from each other, e.g. (Philo not logy) or (Psycho and logy).
Coherent groups of words will be located as complete phrases if you put them into quotation marks, e.g. “Federal Republic of Germany”.
You can also use the advanced search without entering search terms. It will then follow the criteria you have selected (e.g. country or subject area).
If you have not selected any criteria in a given category, the entire category will be searched (e.g. all subject areas or all countries).
