Slim horloge voor kinderen blijkt gemakkelijk te kraken

Privacy Safe-Kid-One, een horloge waarmee je je kind in de gaten houdt, is niet veilig. Kwaadwillenden kunnen de drager bellen en lokaliseren.

Kinderhorloge Safe-Kid-One
Kinderhorloge Safe-Kid-One Foto fabrikant

De Europese Commissie heeft de Duitse elektronicafabrikant Enox verzocht een smartwatch voor kinderen terug te roepen bij klanten die het product hebben gekocht (90 euro). Het horloge, de Safe-Kid-One, blijkt helemaal niet zo veilig als de naam suggereert.

De communicatie met het centrale computersysteem van de fabrikant (de ‘backend-server’) is niet versleuteld, waarschuwen de autoriteiten in een zogeheten ‘Rapex-alert’, op basis van een melding uit IJsland. „Als gevolg hiervan kunnen gegevens zoals de locatiegeschiedenis, het telefoonnummer en het serienummer eenvoudig uitgelezen en gewijzigd worden. Een kwaadwillende kan commando’s naar het horloge sturen, waarmee hij een nummer kan bellen, communiceren met de gebruiker en het kind kan lokaliseren via GPS.” In Nederland werd het product via de webshop Conrad.nl verkocht. Nu niet meer. Hoeveel horloges hier zijn verkocht is niet bekend.

GPS-tracker

De ironie wil dat de Safe-Kid-One daadwerkelijk is ontworpen om de privacy van het kind op te heffen. Dankzij de GPS-tracker kunnen ouders altijd zien waar hun kind aan het spelen is en vragen waarom ze van hun route naar school afgeweken zijn. Het is zelfs mogelijk een digitaal ‘hek’ in te stellen: zodra het kind buiten de aangewezen zone komt, gaat er een alarm af bij de ouders. Naar nu blijkt kunnen onbevoegden deze horloges uitlezen en met het kind communiceren. Het nummer dat onder de SOS-knop zit – gewoonlijk het nummer van de ouders – kan door een hacker worden gewijzigd in zijn eigen telefoonnummer.

Directeur Ole Anton Bieltvedt van fabrikant Enox noemt de kritiek overtrokken. Hij benadrukt dat de smartwatch is goedgekeurd door de Duitse internettoezichthouder.

De Nederlandse concurrent One2track is kritisch op het Duitse product. „Verbazingwekkend dat dit soort bedrijven nog steeds niet hun beveiliging op orde hebben”, mailt eigenaar John van den Oever. „In dit geval is het in de basis al mis. Volgens het rapport van de Europese toezichthouder is de communicatie tussen de app en de server niet SSL-versleuteld. Dit betekent dat de verbinding loopt over een onveilige http-verbinding en daarmee alle commando’s in gewone tekst worden verstuurd over internet.” Gegevens kunnen redelijk eenvoudig worden onderschept, waaronder gebruikersnamen en zelfs wachtwoorden.

One2track, gespecialiseerd in GPS-horloges voor kinderen en hulpbehoevende ouderen, maakt volgens Van den Oever gebruik van een volledig versleutelde verbinding waarbij het ‘afluisteren’ van datastromen door hackers vrijwel onmogelijk is. One2track heeft ook een extra firewall in haar systemen waardoor onbekende, inkomende telefoontjes op het kinderhorloge automatisch worden afgeslagen.

Veiligheidslekken

In oktober 2017 waarschuwde de Nederlandse Consumentenbond al voor lekken bij dit soort producten. „Kinderen kunnen worden afgeluisterd”, schreef de voorlichter op basis van Noors onderzoek. „Kwaadwillenden kunnen vanaf elke plek in de wereld zien waar je kind is. Het is niet duidelijk waar persoonlijke gegevens zoals de naam van je kind, telefoonnummers en foto’s heen gaan. Dit is in strijd met de privacywetgeving.” De bond raadde het gebruik van de horloges Gator en de modellen die met de app SeTracker werken met klem af.

Van den Oever waarschuwt voor handelaren die horloges uit China importeren – de apps en de daaraan gekoppelde online-opslag (‘cloud’) onttrekken zich volgens hem aan Europese privacyregels.

    • Steven de Jong