Stessa chiave per tutte le unità: Ricercatori di sicurezza hanno violato gli smartwatch Xplora

Xplora è considerato un leader del mercato degli smartwatch per bambini. L'azienda norvegese pubblicizza in modo aggressivo i più alti standard di sicurezza e trasparenza. In Norvegia, quasi un bambino su cinque tra i 4 e i 10 anni indossa un dispositivo di questo tipo. Tuttavia, la realtà che si cela dietro la facciata del marketing sembra piuttosto triste, come dimostrano le indagini di https://media.ccc.de/v/39c3-watch-your-kids-inside-a-children-s-smartwatch#t=302 dell'università tedesca TU Darmstadt.

Uno studente di master incrina il leader del mercato

Come parte della sua tesi di Master, Malte Vu ha esaminato un orologio Xplora attuale sotto la supervisione di Nils Rollshausen. Il tempo necessario per la prima violazione è stato sorprendentemente basso. In pochi giorni, sono riusciti ad attivare la modalità sviluppatore protetta da PIN dell'orologio e ad estrarre il software. Malte Vu ha decifrato manualmente il codice PIN richiesto in poche ore.

L'analisi successiva ha rivelato un difetto di sicurezza fondamentale, in quanto i ricercatori hanno trovato una chiave crittografica generale che è identica su tutti i dispositivi dello stesso tipo.

Accesso di massa tramite IMEI

Questa chiave universale consente un accesso profondo ai dati. Gli aggressori hanno bisogno solo del numero IMEI dell'orologio in questione, che è un numero di identificazione di 15 cifre. Le prime 8 cifre sono identiche per tutte le unità di un modello specifico, seguite da un numero di serie di 6 cifre e da un singolo numero di controllo alla fine.

Nella sua presentazione alla 39C3, Rollshausen ha illustrato la semplicità di una scansione automatica dell'intera gamma IMEI di un produttore. Un programma del genere potrebbe teoricamente leggere i dati dell'intero inventario di orologi. Le conseguenze sono enormi, in quanto gli estranei possono leggere le chat private, intercettare immagini e note vocali o persino manipolare la posizione. È persino possibile inviare messaggi falsi all'app dei genitori a nome del bambino. I canali di comunicazione sarebbero inoltre aperti in entrambe le direzioni.

Reazioni esitanti e aggiornamenti senza miglioramenti

Sebbene Xplora sia stata informata di queste vulnerabilità già nel maggio 2025, l'adozione delle misure appropriate ha richiesto molto tempo. Un primo aggiornamento in agosto ha semplicemente aumentato la lunghezza del PIN a 6 cifre e limitato il numero di tentativi falliti. Sembra che il produttore stesse cercando di impedire a ricercatori e hacker di accedere alla modalità sviluppatore.

La vera falla di sicurezza, ossia la chiave universale, è rimasta al suo posto. Dal momento che il produttore ha smesso di rispondere alle richieste di informazioni nel mese di ottobre, i ricercatori hanno coinvolto l'Ufficio Federale per la Sicurezza Informatica della Germania.

Qualche speranza per gennaio 2026

Un altro aggiornamento alla fine di ottobre non ha fornito alcuna correzione, e piccole modifiche all'exploit sono state sufficienti per riottenere l'accesso completo. Xplora ha ora annunciato un aggiornamento di sicurezza completo per gennaio 2026. Si raccomanda vivamente di installare questo aggiornamento immediatamente dopo il rilascio. Dopo diverse telefonate con il produttore alla fine di dicembre 2025, Rollshausen si aspetta una soluzione adeguata.

Come esperimento tecnico, Rollshausen ha mostrato un'ulteriore soluzione alternativa. Ha installato il messenger sicuro Signal direttamente sull'orologio. Questo illustra il problema principale: attualmente i genitori devono decidere se fidarsi della sicurezza pubblicizzata dal produttore o scegliere manualmente un altro canale di comunicazione protetto.