Tyske forskere avdekker kritiske hull i barneklokka Xplora X6Play gen 1: En og samme sikkerhetsnøkkel skal gi adgang til alle klokker av denne modellen. Det gjør private meldinger, bilder og stedsinformasjon sårbare. Xplora varsler stor oppdatering i januar 2026.
Hva forskerne fant
I en masteroppgave ved Technische Universität Darmstadt våren 2025, under veiledning av doktorgradsstudent Nils Rollshausen, ble det avdekket at alle Xplora X6Play gen 1 bruker identisk, statisk sikkerhetsnøkkel. Funnene ble presentert i en pressemelding fra TU Darmstadt.
«Særlig kritisk var at man ved å hente ut nøkkelen fra én enkelt klokke kunne få full tilgang til alle klokker av samme type,» forklarer Rollshausen.
Forsker Malte Vu klarte i løpet av få dager å aktivere utviklermodus på klokken og trekke ut Xploras programvare. Videre tester viste at uvedkommende kan få tilgang til innhold som utveksles mellom foreldreappen og barnets klokke.
Hva kan angripere gjøre?
- Lese private samtaler, bilder og taleopptak.
- Sende falske meldinger i barnets navn.
- Manipulere stedsinformasjon slik at foreldre kan bli lurt til å tro at barnet er et annet sted.
- Modell: Xplora X6Play gen 1
- Sårbarhet: Samme statiske sikkerhetsnøkkel i alle enheter
- Konsekvens: Potensiell full tilgang til innhold og funksjoner
- Status: Forbedringer i aug./okt. 2025, større oppdatering planlagt jan. 2026
Omfang og bakgrunn
Xplora har solgt over 1,5 millioner smartklokker de siste årene. X6Play markedsføres som en sikker løsning for foreldre som vil holde kontakt med barna og vite hvor de befinner seg.
Selskapets produkter har tidligere vært i søkelyset:
- I 2017 avdekket Forbrukerrådet alvorlige sikkerhetsbrister i flere barneklokker, inkludert Xplora-modeller.
- I 2020 hevdet Mnemonic Labs å ha funnet en «bakdør» i Xplora 4, som kunne brukes til å sende GPS-data eller ta bilder med kameraet.
Tidslinje og myndigheter
- Mai 2025: Funnene rapporteres til Xplora.
- August 2025: Xplora innfører forbedringer.
- Oktober 2025: Flere tiltak implementeres.
- Likevel: Tiltakene løser ikke de grunnleggende sikkerhetsproblemene, ifølge forskerne.
- På grunn av alvorlighetsgraden kobles inn Bundesamt für Sicherheit in der Informationstechnik (BSI).
Hva sier Xplora?
Xploras tekniske sjef Sanghyo Kim opplyser at selskapet ikke har indikasjoner på misbruk av sårbarheten.
«Vi har ingen indikasjoner på at funksjonen har vore misbrukt, eller at brukardata har vore tilgjengeleg for uvedkomande eller har kome på avvegar.»
Kim forsvarer også bruken av statiske API-nøkler og peker på kommende endringer.
«Bruk av statiske API-nøkler er vanleg praksis i bransjen og vert nytta av dei fleste store teknologiselskap.»
Xplora opplyser at de har flere lag med sikkerhet, og at de planlegger en omfattende sikkerhetsoppdatering i januar 2026 der de vil gå over til dynamiske API-nøkler.
Kritikken fra sikkerhetseksperter
Norsk IT-sikkerhetsekspert Hans-Petter Fjeld er tydelig i sin kritikk.
«Grunnleggende tryggleiksfeil som me har hatt gode og kjende løysingar for i årevis.»
«Når produkt er retta mot born, er dette heilt uakseptabelt. I verste fall kan misbruk få svært alvorlege konsekvensar.»
Pris for sikkerhetsarbeid
For arbeidet med å avdekke sårbarheter i barneklokker mottok Nils Rollshausen CAST-prisen for IT-sikkerhet 2024. Prisen ble tildelt i desember 2024 for bidrag til å forbedre sikkerheten i forbrukerprodukter rettet mot barn.
Veien videre: Xplora lover betydelige forbedringer med oppdateringen i januar 2026. Inntil da oppfordres foreldre til å være ekstra oppmerksomme på sikkerhetsfunksjoner og oppdateringer for klokkene.
Kommentarer
0 kommentarer
Vi godtar kun kommentarer fra registrerte brukere. Dette gjør vi for å opprettholde en trygg og respektfull debatt, samt for å unngå spam og misbruk. Registrering er gratis og tar bare noen sekunder.
Du må være innlogget for å kommentere. Logg inn eller registrer deg for å delta i diskusjonen.