Xplora Smartwatches: Forscher knacken Generalschlüssel für Kinderuhren

Sicherheitsforscher der TU Darmstadt haben einen universellen Zugangscode für beliebte Kinder-Smartwatches entdeckt. Auf dem Chaos Communication Congress (39C3) demonstrierten sie, wie Angreifer damit Uhren des Herstellers Xplora übernehmen können.

Im Zentrum des Skandals steht ein kryptografischer Generalschlüssel. Die Forscher fanden heraus, dass dieser Master Key bei allen Uhren der Modellreihe X6Play identisch ist oder sich einfach aus der Seriennummer ableiten lässt. Ein Angreifer braucht nur diese IMEI-Nummer, um die Kontrolle zu übernehmen.

Die Folgen sind alarmierend: Kriminelle könnten heimlich das Mikrofon aktivieren, Fotos schießen oder den Standort des Kindes manipulieren. Das GPS-Tracking, ein zentrales Sicherheitsversprechen der Uhren, wäre damit wertlos. Eltern könnten vorgegaukelt bekommen, ihr Kind sei an einem sicheren Ort.

Kritische Sicherheitslücken bei vernetzten Kinderuhren zeigen, wie leicht Unbefugte Mikrofone, Kameras und GPS missbrauchen können. Wer schnelle, praxisnahe Schutzmaßnahmen sucht, findet im kostenlosen E‑Book “Cyber Security Awareness Trends” einen klaren Umsetzungsleitfaden: Checklisten, einfache Konfigurations-Checks und Empfehlungen zur sicheren Vernetzung von IoT‑Geräten. Besonders nützlich für Eltern, Verantwortliche in Kitas oder kleine Firmen, die Risiken sofort minimieren wollen. Jetzt kostenloses Cyber-Security-E-Book herunterladen

Hersteller-Update zeigt bislang kaum Wirkung

Xplora wurde die kritische Lücke bereits im Mai 2025 gemeldet. Bisher veröffentlichte Software-Updates haben das Kernproblem jedoch nicht gelöst. Sie erschwerten den Zugang nur oberflächlich, ließen den universellen Schlüssel aber intakt.

Der Hersteller kündigte nun ein umfassendes Sicherheitsupdate für Januar 2026 an. Bis dahin bleiben die Geräte potenziell angreifbar. Verbraucherschützer dürften in den kommenden Tagen Druck auf das Unternehmen ausüben.

Ein altbekanntes Problem bei smartem Spielzeug

Der Vorfall erinnert an Sicherheitspannen bei vernetztem Spielzeug aus der Vergangenheit. Experten kritisieren seit Jahren, dass bei Kinder-IoT-Geräten oft die schnelle Markteinführung vor einer sicheren Architektur kommt.

Die Enthüllung trifft einen Marktführer, der sich stets von Billig-Importen abgrenzte. Die Botschaft ist klar: Auch vermeintlich sichere Premium-Produkte können fundamentale Designfehler haben. Für besorgte Eltern bleibt vorerst nur ein Rat: Die Online-Funktionen der Uhr kritisch zu hinterfragen oder vorübergehend abzuschalten.