Dezelfde sleutel voor alle apparaten: Beveiligingsonderzoekers hebben Xplora smartwatches gehackt

Xplora wordt beschouwd als marktleider op het gebied van smartwatches voor kinderen. Het Noorse bedrijf adverteert agressief met de hoogste veiligheidsnormen en transparantie. In Noorwegen draagt bijna elk vijfde kind tussen de 4 en 10 jaar zo'n apparaat. De realiteit achter de marketinggevel ziet er echter behoorlijk grimmig uit, zoals blijkt uit onderzoeken van de Duitse universiteit TU Darmstadt.

Masterstudent kraakt marktleider

Als onderdeel van zijn masterscriptie heeft Malte Vu onder toezicht van Nils Rollshausen een huidig Xplora horloge onderzocht. De tijd die nodig was voor de eerste breuk was schokkend laag. Binnen een paar dagen slaagden ze erin om de PIN-beschermde ontwikkelaarsmodus van het horloge te activeren en de software eruit te halen. Malte Vu kraakte de vereiste PIN-code handmatig in slechts een paar uur tijd.

De daaropvolgende analyse onthulde een fundamentele beveiligingsfout, aangezien de onderzoekers een algemene cryptografische sleutel vonden die identiek is op alle apparaten van hetzelfde type.

Massale toegang via IMEI

Deze universele sleutel maakt diepgaande gegevenstoegang mogelijk. Aanvallers hebben alleen het IMEI-nummer van het horloge in kwestie nodig, een identificatienummer van 15 cijfers. De eerste 8 cijfers zijn identiek voor alle eenheden van een specifiek model, die worden gevolgd door een serienummer van 6 cijfers en een enkel controlegetal aan het einde.

In zijn presentatie op 39C3 heeft Rollshausen geïllustreerd hoe eenvoudig een geautomatiseerde scan van de volledige IMEI-reeks van een fabrikant zou kunnen zijn. Zo'n programma zou theoretisch de gegevens van de hele voorraad horloges kunnen lezen. De gevolgen zijn enorm, aangezien vreemden privéchats kunnen lezen, afbeeldingen en spraaknotities kunnen onderscheppen of zelfs de locatie kunnen manipuleren. Het is zelfs mogelijk om in naam van het kind valse berichten naar de ouder-app te sturen. Communicatiekanalen zouden ook in beide richtingen openstaan.

Aarzelende reacties en updates zonder verbetering

Hoewel Xplora al in mei 2025 op de hoogte werd gesteld van deze kwetsbaarheden, liet het nemen van de juiste maatregelen lang op zich wachten. Een eerste update in augustus verhoogde alleen de PIN-lengte naar 6 cijfers en beperkte het aantal mislukte pogingen. Het lijkt erop dat de fabrikant probeerde te voorkomen dat onderzoekers en hackers toegang zouden krijgen tot de ontwikkelaarsmodus.

Het eigenlijke beveiligingslek, namelijk de universele sleutel, bleef bestaan. Omdat de fabrikant in oktober niet meer reageerde op vragen, schakelden de onderzoekers het Duitse Federale Bureau voor Informatiebeveiliging in.

Enige hoop voor januari 2026

Een andere update eind oktober bood ook geen oplossing, en kleine wijzigingen in de exploit waren genoeg om weer volledige toegang te krijgen. Xplora heeft nu een uitgebreide beveiligingsupdate aangekondigd voor januari 2026. Het wordt sterk aangeraden om deze update onmiddellijk na de release te installeren. Na verschillende telefoongesprekken met de fabrikant eind december 2025 verwacht Rollshausen een goede oplossing.

Als technisch experiment toonde Rollshausen verder een alternatieve oplossing. Hij installeerde de beveiligde messenger Signal rechtstreeks op het horloge. Dit illustreert het kernprobleem, ouders moeten momenteel beslissen of ze de geadverteerde beveiliging van de fabrikant vertrouwen of handmatig een ander beveiligd communicatiekanaal kiezen.