Team der TU Darmstadt deckt gravierende Schwachstellen bei Kinder-Smartwatches auf
Darmstadt, 29. Dezember 2025. Ein Forschungsteam der TU Darmstadt hat Sicherheitslücken im aktuellen Modell einer weit verbreiteten Kinder-Smartwatch identifiziert. Die Ergebnisse wurden heute auf dem Chaos Communication Congress (CCC) in Hamburg vorgestellt.
Smartwatches für Kinder werden als Einstieg in die digitale Welt immer beliebter und lagen wahrscheinlich auch in diesem Jahr vielfach unter Weihnachtsbäumen. Der mit mehr als 1,5 Millionen Smartwatches in Europa stark vertretene norwegische Hersteller Xplora wirbt mit Spielspaß und Abenteuer für die Kinder. Für die Eltern steht jedoch die Sicherheit im Vordergrund: Die Kinder können nur mit ausgewählten Kontakten über Text und Sprachnachrichten kommunizieren, und in der Eltern-App lässt sich der Standort der Kinder überwachen – so zumindest die Werbeaussage des Herstellers.
Aber wie viel Wahrheit steckt hinter diesen Versprechungen? Und machen diese Tracking-Smartwatches den Alltag der Kinder tatsächlich sicherer? Diese Frage beschäftigte ein Team des Fachgebiets Sichere Mobile Netze (SEEMOO) am Fachbereich Informatik der TU Darmstadt. „Wir wollten untersuchen, wie es um die Sicherheit und den Datenschutz von Smartwatches für Kinder bestellt ist“, erklärt Fachgebietsleiter Professor Matthias Hollick. „Immer mehr Eltern nutzen diese bereits im Kindergarten- oder Grundschulalter ihrer Kinder, um stets digital mit ihnen verbunden zu sein.“
Einen Schlüssel auslesen, auf alle Uhren zugreifen
Im Rahmen einer Masterarbeit wurde ein aktuelles Modell des Marktführers Xplora genauer analysiert. Malte Vu, der seine Abschlussarbeit im Frühsommer 2025 unter der Betreuung von Nils Rollshausen, Doktorand am Fachgebiet SEEMOO, abgeschlossen hat, konnte innerhalb weniger Tage den Entwicklermodus der Uhr aktivieren und Xploras Software extrahieren. Anschließend stellte er fest, dass ein Angreifer durch das Auslesen eines einzigen Schlüssels tiefgreifenden Zugriff auf eine Vielzahl von Uhren erlangen konnte. „Besonders kritisch war, dass man mit dem Auslesen des Schlüssels aus einer einzigen Uhr den vollen Zugriff auf sämtliche Uhren des gleichen Typs erlangen konnte”, sagt Rollshausen.
Weitere Tests zeigten, dass Angreifer Zugriff auf die privaten Chats, Bilder und Sprachnotizen erlangen können, die zwischen der Eltern-App und der Kinder-Smartwatch ausgetauscht werden. Dies ermöglichte es Angreifern unter anderem, Nachrichten im Namen von Kindern an die Eltern-App zu senden und die Standortdaten zu manipulieren.
Die Ergebnisse wurden im Mai 2025 an Xplora übermittelt. Xplora implementierte im August und Oktober 2025 erste Verbesserungen, die jedoch die grundlegenden Schwachstellen nicht behoben. Aufgrund der Dringlichkeit des Problems schalteten die Forschenden das Bundesamt für Sicherheit in der Informationstechnik (BSI) ein. Xplora hat als Reaktion inzwischen angekündigt, eine umfassende Sicherheitsaktualisierung für den Januar 2026 bereitzustellen. Dieses Update sollte zeitnah installiert werden. Darüber hinaus werde ein überarbeitetes Programm zur Meldung von Sicherheitslücken implementiert.
„Die Ergebnisse unterstreichen die Bedeutung unabhängiger Überprüfungen der Sicherheit von Geräten für Kinder im digitalen Raum”, betont Hollick. Da eine direkte Prüfung der Sicherheit durch Eltern in der Regel nicht möglich ist, sei es ratsam, sich auf unabhängige Bewertungen und Berichte von Expertinnen und Experten zu verlassen, um fundierte Entscheidungen über den Einsatz von Smartwatches für Kinder zu treffen.
Michaela Hütig Science Communication Centre
Weitere Informationen:
https://Eine Aufzeichnung des Vortrags auf dem CCC ist in Kürze unter https://seemoo.de/s/c3-xplora verfügbar.
Facebook
