Xplora: Master-Key legt Millionen Kinder-Smartwatches offen

Sicherheitsforscher knacken die Verschlüsselung beliebter Kinder-Smartwatches. Ein universeller Schlüssel ermöglicht Angreifern das Abhören und Verfolgen von Kindern.

Die Enthüllung schlug auf dem Chaos Communication Congress (39C3) in Hamburg ein wie eine Bombe: Forscher der TU Darmstadt haben eine gravierende Sicherheitslücke in den Smartwatches des Marktführers Xplora aufgedeckt. Der Kern des Problems ist ein fundamentaler Designfehler. Alle Uhren desselben Modells nutzen einen identischen kryptografischen Master-Key. Wer diesen Schlüssel kennt, kann mit der IMEI-Nummer eines Geräts vollen Zugriff erlangen.

Die Experten vom Fachgebiet „Sichere Mobile Netze“ (SEEMOO) demonstrierten live, wie sie die Sicherheitsarchitektur aushebelten. Masterstudent Malte Vu extrahierte den universellen Schlüssel aus der Firmware. Das Fatale: Die benötigte IMEI-Nummer ist kaum geschützt. Da die ersten Ziffern bei Modellreihen gleich sind, ließen sich aktive Geräte automatisiert identifizieren.

Der Xplora-Fall zeigt, wie weitreichend die Folgen schwacher IoT-Sicherheit sein können. Ein kostenloses E-Book zu Cyber-Security erklärt, wie Sie vernetzte Kindergeräte, Heimnetz und Router richtig härten, Firmware-Updates prüfen und Angriffsvektoren schnell erkennen — inklusive Prioritätenliste für Sofortmaßnahmen. Besonders hilfreich für Eltern, Schulen und kleine Betreiber, die ihre Geräte kurzfristig schützen wollen. Der Report ist gratis und praxisorientiert — ohne Fachchinesisch, mit Checkliste für den Notfall. Kostenlosen Cyber-Security-Leitfaden herunterladen

„Sobald Schlüssel und IMEI vorliegen, ist die Uhr geknackt“, so die Forscher. Der Angriff funktioniert aus der Ferne und ist massentauglich. Xplora verkaufte in Europa über 1,5 Millionen Einheiten – die Angriffsfläche ist riesig.

Vom Schutz- zum Überwachungsgerät

Die Folgen sind alarmierend. Ein Eindringling kann laut den Darmstädtern:
* Alle Textnachrichten zwischen Eltern und Kind mitlesen.
* Den Live-Standort des Kindes in Echtzeit verfolgen.
* Die Uhr als Abhörwanze missbrauchen und Umgebungsgeräusche mitschneiden.
* Gefälschte Nachrichten im Namen der Eltern oder des Kindes versenden.

In einer Demo verlegten die Forscher den Standort einer Uhr virtuell nach Nordkorea. Die vertrauenswürdige Tracking-Funktion? Vollständig manipulierbar. Damit wird das Sicherheitsversprechen des Herstellers ad absurdum geführt.

Hersteller reagierte nur zögerlich

Kritik gibt es auch am Krisenmanagement. Xplora sei bereits im Mai 2025 informiert worden, reagierte aber nur halbherzig. Die Updates im August und Oktober bauten lediglich oberflächliche Hürden ein – der Master-Key blieb in der Firmware.

Erst nachdem die Forscher das Bundesamt für Sicherheit in der Informationstechnik (BSI) einschalteten und die Veröffentlichung auf dem Kongress drohte, wurde der Hersteller aktiv. Xplora kündigte nun ein umfassendes Sicherheitsupdate für Januar 2026 an. Dieses muss die Authentifizierung grundlegend überarbeiten und individuelle Schlüssel für jedes Gerät einführen.

Was können betroffene Eltern tun?

Bis das kritische Update verfügbar und installiert ist, raten Experten zu erhöhter Vorsicht. Professor Matthias Hollick von der TU Darmstadt warnt davor, sich blind auf Herstellerversprechen zu verlassen.

Für die Übergangszeit empfehlen Sicherheitsforscher:
* Update sofort installieren: Sobald das Patch im Januar bereitsteht.
* Funktionen einschränken: Die Uhr in sensiblen Situationen ausschalten oder nur eingeschränkt nutzen.
* Alternative Kommunikation: Wichtige Absprachen nicht über die Messaging-Funktion der Uhr treffen.

Der Fall Xplora ist ein Weckruf für die gesamte Branche. Bei Produkten für Kinder muss Sicherheit von Grund auf mitgedacht werden – und nicht als lästiges Anhängsel behandelt werden. Die nächsten Wochen werden zeigen, ob der Marktführer das verlorene Vertrauen zurückgewinnen kann.

PS: Gerade bei Kinder-Smartwatches zählt jede Sicherheitsmaßnahme. Fordern Sie den Gratis-Report an: Er enthält eine verständliche Checkliste, erklärt, welche Netzwerke getrennt werden sollten, welche Einstellungen das Abhören verhindern und wie Sie im Verdachtsfall schnell reagieren. Ideal für alle Eltern, die ihre Kinder sofort schützen wollen. Gratis Cyber-Security-Report anfordern