Notebookcheck Logo

Samma nyckel för alla enheter: Säkerhetsforskare har hackat Xplora smartklockor

Säkerhetsforskare har knäckt Xplora smartklockor (Bildkälla: AI-genererad med Nano Banana Pro)
Säkerhetsforskare har knäckt Xplora smartklockor (Bildkälla: AI-genererad med Nano Banana Pro)
Ett föredrag på 39C3 har avslöjat allvarliga säkerhetsbrister i Xplora-smartklockor. Forskare från ett tyskt universitet visar hur en universalnyckel ger tillgång till kommunikationen för alla barn med Xplora-klockor, och varför tillverkarens tidigare uppdateringar inte har åtgärdat detta.
Security Hack / Data Breach Science

Xplora anses vara marknadsledande inom smartklockor för barn. Det norska företaget gör aggressivt reklam för högsta säkerhetsstandard och transparens. I Norge bär nästan vart femte barn mellan 4 och 10 år en sådan enhet. Verkligheten bakom marknadsföringsfasaden ser dock ganska dyster ut, vilket framgår av utredningar från det tyska universitetet TU Darmstadt.

Masterstudent knäcker marknadsledare

Som en del av sin magisteruppsats har Malte Vu undersökt en aktuell Xplora-klocka under överinseende av Nils Rollshausen. Tidsåtgången för det första intrånget var chockerande låg. Inom loppet av några dagar lyckades de aktivera klockans PIN-skyddade utvecklarläge och extrahera programvaran. Malte Vu knäckte manuellt den nödvändiga PIN-koden på bara några timmar.

Den efterföljande analysen avslöjade en grundläggande säkerhetsbrist, eftersom forskarna hittade en allmän kryptografisk nyckel som är identisk på alla enheter av samma typ.

Massåtkomst via IMEI

Denna universella nyckel möjliggör djupgående dataåtkomst. Angripare behöver bara IMEI-numret för klockan i fråga, vilket är ett 15-siffrigt identifieringsnummer. De första 8 siffrorna är identiska för alla enheter av en specifik modell, de följs av ett 6-siffrigt serienummer och ett enda kontrollnummer i slutet.

I sin presentation på 39C3 har Rollshausen illustrerat hur enkel en automatiserad skanning av en tillverkares hela IMEI-sortiment skulle kunna vara. Ett sådant program skulle teoretiskt sett kunna läsa data från hela klockbeståndet. Konsekvenserna är enorma, eftersom främlingar kan läsa privata chattar, fånga upp bilder och röstanteckningar eller till och med manipulera platsen. Det är till och med möjligt att skicka falska meddelanden till föräldraappen i barnets namn. Kommunikationskanalerna skulle också vara öppna i båda riktningarna.

Tveksamma reaktioner och uppdateringar utan förbättring

Även om Xplora informerades om dessa sårbarheter redan i maj 2025 tog det lång tid att vidta lämpliga åtgärder. En första uppdatering i augusti ökade helt enkelt PIN-kodslängden till 6 siffror och begränsade antalet misslyckade försök. Det verkar som om tillverkaren försökte hindra forskare och hackare från att komma åt utvecklarläget.

Den faktiska säkerhetsbristen, nämligen universalnyckeln, förblev på plats. Eftersom tillverkaren slutade svara på förfrågningar i oktober involverade forskarna Tysklands federala kontor för informationssäkerhet.

Lite hopp för januari 2026

En annan uppdatering i slutet av oktober gav inte heller någon fix, och små förändringar i utnyttjandet räckte för att återfå full åtkomst. Xplora har nu meddelat en omfattande säkerhetsuppdatering för januari 2026. Det rekommenderas starkt att installera denna uppdatering omedelbart när den släpps. Efter flera telefonsamtal med tillverkaren i slutet av december 2025 förväntar sig Rollshausen en ordentlig lösning.

Som ett tekniskt experiment visade Rollshausen dessutom en alternativ lösning. Han installerade den säkra budbäraren Signal direkt på klockan. Detta illustrerar kärnproblemet, föräldrar måste för närvarande bestämma sig för om de ska lita på tillverkarens utlovade säkerhet eller manuellt välja en annan skyddad kommunikationskanal.

Please share our article, every link counts!
Mail Logo
> Bärbara datorer, laptops - tester och nyheter > Nyheter > Nyhetsarkiv > Nyhetsarkiv 2025 12 > Samma nyckel för alla enheter: Säkerhetsforskare har hackat Xplora smartklockor
Marc Herter, 2025-12-30 (Update: 2025-12-30)