In der aktuellen Ausgabe 8/18 des Computermagazins “c’t”, die am 31. März erschienen ist, wird der Fall näher erläutert. Gefunden hat die Sicherheitslücke der unabhängige Sicherheitsforscher Christopher Dreher, der sich prompt an die Redaktion von c’t und heise online wendete, damit diese den Hersteller kontaktieren können. Er hatte sich zuvor intensiv mit der Paladin Smartwatch und deren Software beschäftigt. Ihm zufolge liegen auch genau dort die gravierenden Fehler.
Aber auf Anfang! Die Uhr lässt sich mit einem sehr einfachen Trick abhören. Dazu muss man kein besonders geübter Hacker sein. Mit einer simplen Webanfrage kann die Watch selber dazu gebracht werden, eine beliebige Telefonnummer anzurufen. Denn das Gerät besitzt selber ein GSM-Modem. Dies geschieht ohne das Wissen des Nutzers und lediglich die ID des Gerätes muss dafür bekannt sein.
Jetzt stellt sich natürlich die Frage, wie man denn an die jeweilige ID der Uhr kommt. Ganz einfach: Die Paladin Watch wird mit der dazugehörigen Android- oder iOS-App konfiguriert. Die Anwendung kommuniziert mit Webservern vom Hersteller, die wiederum Befehle über eine Mobilfunkverbindung zurück schicken. Der Datenverkehr zwischen Smartphone-App und Server ist dabei komplett unverschlüsselt. Er lässt sich also sehr einfach nachvollziehen und so eben auch die ID der Uhr herausfinden.
Läuft das Telefonat über die Uhr erstmal, (ich betone noch einmal: Der Träger bekommt davon nichts mit!) so kann das angerufene Telefon alles, was in der Nähe der Watch geschieht, mithören. Das alles kann mit wenigen Handgriffen, einer Linux-Kommandozeile und der ID der Uhr durchgeführt werden. Die jeweiligen IDs scheinen nacheinander an die Geräte vergeben worden zu sein, also dürfte es nicht schwer sein auch Uhren von anderen Kunden zu finden.
Die Firma Vidimensio zeigt sich uneinsichtig. Nachdem dieser gravierende Sicherheitsfehler ans Licht kam, wollten c’t und heise natürlich eine Stellungnahme sowie ein Datum, bis wann man diese Lücke beheben würde. Der Firmenchef wollte nicht verstehen, dass man über eine auf dem Markt so unbedeutende Uhr solch einen Aufstand machte.
“Seiner Ansicht nach war seine Firma viel zu klein und seine Produkte viel zu unbedeutend, als dass wir sie mit einem Artikel beehren sollten. Es gebe doch viele andere, viel wichtigere Sicherheitslücken, über die wir lieber berichten sollten. Dass die Käufer seiner Uhren erfahren sollten, dass sie mit Wanzen am Handgelenk herumlaufen, auf die jedermann aus dem Internet nach Belieben zugreifen kann, wollte der Firmenchef nicht einsehen.” c't
Ich denke, wir müssen nicht darüber diskutieren, dass eine solche Sicherheitslücke ein Skandal ist. Auf der Amazon-Seite des Produkts wird auch deutlich daraufhin gewiesen, dass die Uhr keine Abhörfunktion besitzt. Wie wir nun wissen, ist das eine dreiste Lüge. Meiner Meinung nach, ist das ein Unding, gutgläubigen Menschen solch eine Technik andrehen zu wollen. Selbst, wenn die Watch keine großen Verkaufszahlen verzeichnen kann, finde ich die Einstellung des Firmenchefs sehr fraglich.
