Xplora: Kritische Sicherheitslücke in Kinder-Smartwatches entdeckt

Eine universelle Code-Schlüssellücke ermöglichte Angreifern die vollständige Kontrolle über die beliebten GPS-Uhren. Ein Update soll den Fehler nun beheben.

In einer beunruhigenden Entwicklung für den Kinderschutz hat Xplora Technologies eine kritische Sicherheitslücke in seinen Kinder-Smartwatches eingeräumt. Ein universeller, fest eingebauter kryptografischer Schlüssel machte Millionen Geräte angreifbar. Angreifer hätten so die Uhren übernehmen, Gespräche abhören oder den Standort fälschen können. Das Unternehmen rollt jetzt ein dringendes Sicherheits-Update aus.

Was die Lücke so gefährlich macht

Die Brisanz des Fehlers wurde erst vor wenigen Tagen auf dem 39. Chaos Communication Congress (39C3) in Hamburg vollends klar. Forscher der Technischen Universität Darmstadt (TU Darmstadt) vom Secure Mobile Networking Lab (SEEMOO) demonstrierten dort, wie sie Xplora-Uhren mit einem statischen, geräteübergreifenden Schlüssel kompromittieren konnten.

„Dieser geteilte Schlüssel funktioniert wie ein Generalschlüssel“, erklärt das Team um Nils Rollshausen und Malte Vu. Einmal von einer Uhr extrahiert, öffne er theoretisch alle Geräte des gleichen Typs. Die Folgen sind gravierend: Angreifer könnten das Mikrofon aktivieren, den GPS-Standort manipulieren, private Fotos abgreifen oder Nachrichten im Namen des Kindes versenden. In ihrer Präsentation veranschaulichten die Forscher das Risiko mit dem fiktiven Szenario einer „kinderfressenden Hexe“, die so ein Kind in die Falle locken könnte.

Sicherheitslücken wie der Xplora‑Generalschlüssel zeigen, wie verwundbar vernetzte Kinderuhren und andere IoT‑Geräte sind. Ein kostenloses E‑Book erklärt aktuelle Cyber‑Security‑Bedrohungen und liefert sofort umsetzbare Schutzmaßnahmen für Eltern sowie praktische Checklisten zum sicheren Einspielen von Updates. Sie erfahren, welche Einstellungen sofort schützen und wie Sie Manipulationen von Mikrofon oder GPS verhindern können. Das E‑Book berücksichtigt auch neue Vorgaben wie den EU Cyber Resilience Act und erläutert, welche Pflichten Hersteller und Nutzer jetzt haben. Jetzt kostenlosen Cyber‑Security‑Report herunterladen

Lange bekannt, spät gebannt: Eine Chronologie des Versagens

Die Öffentlichkeit erfährt erst jetzt von dem Risiko – die Forscher kannten es schon viel länger. Sie informierten Xplora erstmals im Mai 2025 über die Schwachstellen. Die Reaktion des Herstellers blieb jedoch halbherzig. Teil-Updates im August und Oktober 2025 erhöhten lediglich die PIN-Komplexität, beseitigten aber nicht die Wurzel des Problems: den universellen Hardcode-Schlüssel.

Kritiker werfen Xplora vor, mit diesen Patches eher den Zugang für Forscher erschwert als die Infrastruktur gegen echte Angreifer gesichert zu haben. Aus Frustration über die unzureichenden Maßnahmen eskalierte das TU-Darmstadt-Team den Fall schließlich im Spätjahr 2025 beim Bundesamt für Sicherheit in der Informationstechnik (BSI). Dieser regulatorische Druck und die öffentliche Aufdeckung auf dem Kongress scheinen nun endgültig die umfassende Korrektur erzwungen zu haben.

Dringender Handlungsbedarf für alle Nutzer

Xplora verteilt jetzt ein endgültiges Sicherheits-Update. Für Eltern ist schnelles Handeln entscheidend, denn nur die installierte Aktualisierung schützt. Sicherheitsexperten empfehlen diese Schritte:

1. Mit WLAN verbinden: Die Update-Datei ist groß. Stellen Sie eine stabile WLAN-Verbindung der Uhr sicher.
2. Update manuell prüfen: Gehen Sie in den Einstellungen der Uhr zu „Systemupdate“ oder „Software-Aktualisierung“ und starten Sie eine manuelle Suche.
3. Installation bestätigen: Warten Sie, bis der Download abgeschlossen ist und die Uhr neu startet. Prüfen Sie danach erneut auf Updates.
4. Funktion testen: Vergewissern Sie sich nach dem Update, dass Ortung und Kommunikationsfunktionen einwandfrei arbeiten.

Bis das Update installiert ist, bleibt das Gerät potenziell angreifbar. In Risikosituationen raten einige Experten sogar dazu, die Uhr auszuschalten, wenn die Aktualisierung nicht sofort möglich ist.

Branche unter Druck: Lehren aus dem Sicherheitsdebakel

Der Vorfall wirft ein grelles Licht auf ein Dauerthema der Internet-of-Things (IoT)-Branche, besonders bei Kinderprodukten. Die Verwendung statischer Universalschlüssel gilt in der Cybersicherheit längst als veraltet, taucht in der Konsumelektronik aber immer wieder auf – oft aus Kostengründen in Herstellung und Wartung.

Die Parallelen zu ähnlichen Hintertüren in preiswerten GPS-Trackern der Vergangenheit sind offensichtlich. Die Tragweite ist bei Xplora jedoch größer: Das Unternehmen hat nach eigenen Angaben über 1,5 Millionen Nutzer in Europa und positioniert sich im Premium-Segment. Damit handelt es sich um einen der bedeutendsten Sicherheitsvorfälle bei Wearables im Jahr 2026.

Die Episode dürfte die Forderungen nach strengerer Regulierung vernetzter Kinderspielzeuge und -wearables weiter befeuern. Der geplante EU Cyber Resilience Act (CRA) wird Hersteller künftig zu „Security by Design“ und längerem Support verpflichten – und solche Schwachstellen härter ahnden. Für Xplora geht es nun darum, das verlorene Vertrauen durch Transparenz beim Update-Rollout und eine robuste neue Sicherheitsarchitektur zurückzugewinnen. Unabhängige Gruppen prüfen derweil, ob der „Generalschlüssel“ durch das Update tatsächlich unschädlich gemacht wurde.

PS: Eltern, Schulen und kleine Einrichtungen stehen zunehmend vor der Frage, wie sich Kindergeräte sicher betreiben lassen. Dieses kostenlose E‑Book fasst bewährte Sicherheitsmaßnahmen zusammen, erklärt Prioritäten beim Update‑Management und gibt praxisnahe Tipps, wie Sie verdächtiges Verhalten erkennen und melden. Ideal für alle, die sofort Schutz für Uhren, Tracker und vernetzte Spielzeuge wollen. Gratis E‑Book zur Cyber‑Sicherheit jetzt anfordern