Sådan kom børnegadget fyldt med sikkerhedshuller på hylderne i Danmark

Et smart ur til børn skulle give forældre en mere tryg hverdag. Men fejl gjorde det muligt for fremmede at overvåge urene.

Urene bliver produceret i Kina, men bliver importeret og solgt i Europa af forskellige lokale virksomheder (Foto: Forbrukerrådet)

En ny type simple, men smarte ure til børn er kommet på markedet i løbet af 2017. Urene skal gøre det mere trygt og sikkert at være forælder i fremtiden.

Urene har en GPS-funktion og en indbygget telefon, som kan parres med forældrenes smartphone. På den måde kan man altid kan se, hvor ens barn befinder sig befinder sig, ligesom man kan sende beskeder og ringe til uret.

Men løftet om tryghed kom med en bagside af medaljen. Urene havde adskillige fejl, der åbnede for, at ondsindede mennesker også ville kunne følge med i børnenes gøren og laden, og i nogle tilfælde få samme muligheder for at kontakte barnet, som forældrene.

Overvåg et fremmed barn med få klik

Særligt én type af urene fik megen opmærksomhed på grund af ringe IT-sikkerhed - det drejer sig om urene af typen Gator. I sidste måned blev modellen Gator 2 meldt til det norske og danske datatilsyn, ligesom urene blev forbudt i Tyskland.

Gator 2-uret og den tilhørende app gjorde det muligt for en hvilken som helst person at få adgang til de data, der gennem internettet flyder mellem appen på forælderens telefon og til uret på barnets håndled.

Undersøgelser viste, at med en lille smule IT-kunnen, ville en angriber suge et væld af personlige data om både børn og forældre ud af urene.

Det ender med, at den nordiske importør af urene, der bliver produceret i Kina, trækker urene tilbage. I stedet kommer det opdaterede Gator 3 på markedet. Her lover importøren, at det nye ur er mere sikkert end det forrige.

Importør anerkender fejl

Men det viser sig ikke at være tilfældet. Det norske IT-sikkerhedsfirma Mnemonic undersøgte uret og den tilhørende app for det norske forbrugerråd. Resultatet var, at Gator 3-uret og den tilhørende app også havde adskillige sikkerhedsfejl.

Importøren siger til DR Viden, at fejlene nu er rettet, men anerkender, at begge ure kom på markedet med mangler i sikkerheden. Årsagen er, at importøren slet ikke testede IT-sikkerheden i urene:

- Da vi beslutter os for at importere og sælge uret, kontrollerer vi, at det lever op til de påkrævede EU-certificeringer, blandt andet for stråling. Vi købte af en af de største producenter, som også sælger urene i USA og Storbritannien. Men vi tester ikke IT-sikkerheden på producentens servere. Det var ikke i vores tanker, siger Morten Sæthre, grundlægger af Gator Norge.

Data lå på usikre kinesiske servere

Ifølge IT-sikkerhedsfirmaet Mnemonic manglede der helt basal kontrol med, hvem der kunne få adgang til følsomme data om urenes brugere.

Dataene lå frit tilgængeligt i en kinesisk database uden adgangskode. Desuden var det nemt at ændre indstillingerne i forældre-appen, så man kunne overvåge fremmede børn.

- Vi kunne se en server med beskeder og profilbilleder af brugere, der var åben for alle på internettet. Der var ingen adgangskode på. Adgangen ser ud til at være lukket nu. Desuden kunne man ændre i sin egen app og parre den med fremmede ure ved at ændre på hvilket ur-ID, appen kommunikerede med, siger Harrison Sand, senior sikkerhedskonsulent ved Mnemonic til DR Viden.

Mnemonic fandt sikkerhedsfejlene i Gator 3-uret i midten af november. På det tidspunkt havde Gator Norge i månedsvis udviklet på sin egen app til uret, som skulle være mere sikker. Den var dog ikke klar endnu.

Så sideløbende med Mnemonics undersøgelse måtte Gator Norge selv i gang med at undersøge uret og den eksisterende app, der allerede var på markedet. Her fik de ved selvsyn konstateret sikkerhedsfejlene og måtte i gang med at få dem rettet:

- Vi bad om at få krypteret forbindelsen til de kinesiske servere. Desuden havde vi arbejdet på vores egen app siden februar. Vi blev forsinkede, men vi besluttede, at det var nødvendigt at have vores egen app med data i Europa, så vi har kontrol over sikkerheden, siger Morten Sæthre.

Forstår, hvis kunder er skeptiske

I 2017 har Gator Norge altså sendt to ure til børn på gaden. Det første, Gator 2, måtte virksomheden trække helt tilbage på grund af alvorlige fejl i IT-sikkerheden.

Det andet, Gator 3, måtte Gator Norge bruge månedsvis på at udvikle en ny app, fordi den oprindelige app heller ikke var sikker nok.

Morten Sæthre, grundlægger af Gator Norge, forstår godt, at man kan være skeptisk overfor virksomhedens produkter. Han mener dog, at Gator Norge har handlet korrekt:

- Jeg forstår godt, man kan være skeptisk. Vi har også kunder, der er skeptiske - og vi bebrejder dem ikke noget. Men man må forstå, at det tager tid at rette op på denne slags fejl. Det tager lang tid at gennemteste vores system, som vi er i gang med. To IT-sikkerhedsvirksomheder har nu gennemtestet vores system, og de melder tilbage til os, at det er sikkert nu, siger han.

Hverken Forbrugerrådet eller andre uafhængige organisationer har offentliggjort dokumentation for, at urene nu skulle være sikre. Gator 3-uret kan stadig købes i Danmark.