Mehr als ein Jahr nach dem exklusiven c't-Bericht über Sicherheitslücken in GPS-Tracking-Smartwatches der österreichischen Firma Vidimensio enthalten die Geräte immer noch eklatante Schwachstellen. Angreifer können darüber die Uhren metergenau nachverfolgen. Über den Server der Firma sind tausende der Uhren registriert, die meisten davon in Deutschland. Sie lassen sich über simple Web-Anfragen tracken und man kann ihnen sogar Befehle senden, ohne dass der Träger dies bemerkt. Diese horrend unsicheren Uhren werden vom Hersteller als Sicherheitsprodukt beworben, mit denen Eltern ihre Kinder oder Angehörige ihre Eltern im Seniorenalter überwachen sollen.

Da der Hersteller keine Anstalten macht, die Lücken zu schließen, greift der unabhängige Sicherheitsforscher Christopher Bleckmann-Dreher, der die Lücken Ende 2017 entdeckte, nun zu ungewöhnlichen Mitteln. Er ändert die GPS-Logs der Uhren und schreibt den Besitzern mit eigenen Koordinaten großflächig "PWNED!" auf die Tracking-Karte ihrer Uhr – Hacker-Slang für "du bist gehackt!"

Der Hersteller Vidimensio hatte im April 2018 nach monatelangem Tauziehen mit Bleckmann-Dreher und der Heise-Redaktion mit nachfolgender Veröffentlichung einer investigativen c't-Recherche schließlich auf den öffentlichen Druck reagiert und die Abhörfunktion der Uhren deaktiviert. Wie sich nun allerdings herausstellt, hatte Vidimensio nur die API für diese Funktion am Server deaktiviert. Die Uhren lassen sich also nach wie vor abhören, wenn man die Rufnummer der darin verbauten SIM-Karte kennt. Außerdem hat Vidimensio die anderen von Bleckmann-Dreher entdeckten Schwachstellen einfach ignoriert – sie sind nach wie vor über den Server angreifbar. Das bedeutet, unangemeldete Angreifer können über die Server-API herausfinden, wie viele Uhren der Firma im Umlauf sind und wo sich diese genau befinden. Außerdem können sie auf den Uhren gespeicherte Kontaktdaten auslesen, diese ändern und die GPS-Logs der Uhren manipulieren.

Selbstgebaute Verschlüsselung ist keine gute Idee

Eine von Vidimensio nach unserem Bericht eingebaute Verschleierungsfunktion, die es wohl verhindern sollte, dass Angreifer dem Server die ID-Strings einzelner Uhren entlocken können, wurde von Bleckmann-Dreher umgehend geknackt. Sie ist so stümperhaft umgesetzt, dass man in diesem Fall kaum von Verschlüsselung sprechen kann. Hat der Angreifer eine ID dekodiert, kann er mühelos andere Uhren katalogisieren, da die Identifikationsnummern der Uhren einem klaren Muster folgen. Damit kann er sich dann an der Web-App des Vidimensio-Servers anmelden, die auch legitime Nutzer der Uhren verwenden.

Da das Passwort zum Login allerdings Client-seitig im Web-Browser statt auf dem Server verifiziert wird, kann ein Angreifer diese Abfrage einfach umgehen. Weder einen routinierten Sicherheitsforscher noch einen Hobby-Hacker bringen diese ungeschickten Schutzfunktionen ernsthaft ins Schwitzen. Selbst nach den Änderungen von Vidimensio gelang es uns, dutzende Uhren in kürzester Zeit aufzuspüren und auch der Einbruch in das Nutzerkonto unserer Test-Uhr war eine Sache von Minuten. Statt die Uhren umfassend abzusichern, setzt Vidimensio nach wie vor auf wackelige Behelfslösungen, die einfach zu umgehen sind.

Tausende Uhren betroffen, Hunderte wurden gehackt

Aber es kommt noch schlimmer: Im Anschluss an den c't-Bericht und Bleckmann-Drehers ursprüngliche Forschungen, die sich nur mit einem von Vidimensio verkauften Smartwatch-Modell befassten, gelang es dem Forscher, weitere Uhren-Modelle zu knacken. Wie wir schon in unserem ersten Bericht zu den Sicherheitslücken vermuteten, sind also andere Vidimensio-Smartwatches neben dem Modell Paladin betroffen. Vermutlich nutzen alle von der Firma vertriebenen Uhren dasselbe verwundbare Server-Backend. Bleckmann-Dreher hat mehr als 7000 der Geräte katalogisiert, die meisten davon befinden sich in Deutschland und Österreich. Knapp 3000 der Uhren waren innerhalb des vergangenen Monats aktiv. Bei knapp 300 der Uhren – solche, die seit Anfang 2018 nicht benutzt wurden und wahrscheinlich von den Besitzern zerstört wurden – hat der Sicherheitsforscher die GPS-Daten mit dem Wort PWNED versehen.

Sicherheitslücken in billigen Smartwatches sind ein bekanntes Problem. Erst vor kurzem hatte die Europäische Kommission dazu aufgerufen, ein unsicheres Modell der Firma ENOX aus dem Verkehr zu ziehen. Ähnlich wie bei den Vidimensio-Uhren, reagierte der Hersteller kaum und sieht keinen Grund zur Besorgnis. Die GPS-Lokalisierung sei nur auf 500 Meter genau, man verstehe nicht, warum sich Journalisten überhaupt mit so etwas befassen. Die Firma will die Uhr ohne Änderungen weiterverkaufen.

Was macht die Bundesnetzagentur?

In Deutschland gelten Geräte mit versteckten Abhörfunktionen als unerlaubte Sendeanlagen und sind damit verboten. Die zuständige Bundesnetzagentur (BNetzA) hatte Ende 2017 vor GPS-Uhren mit ähnlichen Funktionen gewarnt, nachdem Eltern damit den Unterricht ihrer Kinder abgehört hatten. Die Behörde hatte Besitzern damals empfohlen, solche Smartwatches mit Abhörfunktionen umgehend zu zerstören. Diese Meldung hatte Bleckmann-Dreher ursprünglich dazu bewegt, sich das erste Vidimensio-Modell näher anzusehen, nachdem er die Uhr bei Amazon mit dem Werbe-Slogan "ohne Abhörfunktion" entdeckt hatte. Nun kämpft der Sicherheitsforscher dafür, dass die BNetzA auch die Uhren von Vidimensio als verboten deklariert.

Obwohl die Bundesnetzagentur Anfang 2018 gegenüber heise online und der c't ausgesagt hatte, man sei in dem vorliegenden Fall nicht zuständig, da sich jemand unrechtmäßig Zugriff auf die Uhren verschaffen muss, um sie abzuhören, hat die Behörde wohl danach einige Modelle von Vidimensio geprüft. Bei diesen Tests wurde keine Abhörfunktion festgestellt, wie aus dem Ergebnis einer Anfrage nach dem Informationsfreiheitsgesetz hervorgeht, die Bleckmann-Dreher über die Plattform Frag den Staat gestellt hatte. Auch der Hersteller Vidimensio berief sich in Mails an die Redaktion auf dieses Urteil der BNetzA. Wie sich jetzt anscheinend herausstellt, hatte die Behörde nur den auch in der c't beschriebenen Angriff über die Server-API und direkte SMS-Kommandos getestet, alle anderen Sicherheitslücken der Uhren und der dazugehörigen Web-App allerdings nicht geprüft.

Heise online hat eine Anfrage an die Bundesnetzagentur zu den neuerlichen Erkenntnissen Bleckmann-Drehers gestellt, die dieser vor Kurzem auf der Sicherheitskonferenz Troopers in Heidelberg vorgestellt hatte. Sobald darauf eine Antwort vorliegt, werden wir diese hier einfügen.

Funkstille beim Hersteller

Vidimensio, auf dem Papier eine britische Firma mit Hauptsitz in Österreich, antwortet der Redaktion seit geraumer Zeit nicht mehr auf Presseanfragen. Ein neuerlicher Kontaktversuch mit Bitte um einen Kommentar zu den vorliegenden Erkenntnissen blieb ebenfalls unbeantwortet. Im Vorfeld des c't-Artikels hatte der Sprecher des Unternehmens augenscheinlich lange Zeit nicht verstanden, worin die Sicherheitsprobleme bestanden und warum sie als kritisch einzuschätzen sind – obwohl wir der Firma von Anfang an detaillierte Beschreibungen der Angriffsmethoden geliefert hatten.

Später wollte man uns dann ausreden, zu berichten. Es gäbe doch weitaus schlimmere Sicherheitslücken da draußen, um die wir uns kümmern sollten, so der Vidimensio-Vertreter. Obwohl wir die Veröffentlichung unseres Artikels wochenlang hinauszögerten, gelang es der Firma trotzdem nicht, die Lücken auch Monate nach dem ersten Kontakt durch Bleckmann-Dreher zu schließen. Und wie jetzt deutlich wird, sind fast alle Lücken auch heute noch offen und angreifbar. Käufern von Vidimensio-Uhren kann man vor diesem Hintergrund nur empfehlen, die Geräte umgehend aus dem Verkehr zu ziehen. (fab)