I sidste måned meldte det norske svar på Forbrugerrådet (Forbrukerrådet) en række producenter af GPS-overvågningsure til børn til det norske Datatilsyn. Urene har alvorlige IT-sikkerhedsproblemer, som blandt andet gør det muligt for fremmede at tage kontrol med nogle af urenes funktioner.
Urenes mangler er dokumenteret i en analyse lavet af det norske Forbrukerråd i samarbejde med IT-sikkerhedsvirksomheden Mnemonic.
I dag anmelder Forbrugerrådet i Danmark de samme producenter til Datatilsynet. Danske forældre kan nemlig, ligesom de norske, udstyre deres børn med de usikre ure. Desuden beskriver nogle af brugervilkårene for urene ikke, hvad de opsamlede data bliver brugt til.
Uret skal være den første telefon
Et GPS-ur koster i omegnen af 1.000-1.300 kroner og kan sammenlignes med en sammenblanding af et digitalur og en smartphone. De bliver markedsført som forstadiet til et barns første mobiltelefon.
Urene fungerer typisk ved, at de bliver parret med en app på forældrenes telefon. Med den app kan forældrene altid se, hvor uret befinder sig, ligesom de kan ringe uret op og tale til barnet når som helst.
Men på uret af typen Gator 2 kan en fremmed med tilstrækkelige IT-kompetencer overtage forældrenes brugerprofil og dermed overvåge og tale til barnet - uden forældrene ved det.
Mangler basal sikkerhed
Det fungerer på denne måde: Hver enkelt konto, der oprettes, får tildelt et unikt ID-nummer. Det er det ID, der gør, at information fra appen rammer det rigtige ur. Men der er ingen yderligere sikkerhed forbundet, der sikrer, at det er den rette information, der når frem til uret.
- Så snart man gætter et bruger-ID på en vilkårlig konto, så har man fuld adgang til alle oplysninger, som uret indsamler om barnet. Det kan man gøre fra en almindelig computer, og det er rimelig simpelt, siger Gert Læssøe Mikkelsen, leder af Security Lab ved Alexandra Instituttet til DR Viden.
Desuden bliver ID-numrene tildelt fortløbende, hvilket gør det nemmere at gætte.
På flere af urene, som Mnemonic har testet, er det muligt at få uret til at sende et forkert GPS-signal til forældrene, så man kan sende barnet på en digital rejse til det nordlige Sibirien, hvis man skulle have lyst.
Data er åbent for alle
Desuden kunne IT-sikkerhedseksperterne konstatere, at urene sendte data til flere forskellige steder i verden, og i visse tilfælde blev dataen sendt ukrypteret. I tilfældet med Gator 2-uret er ingen kryptering overhovedet.
- Hvis man på nogen måde kan opfange kommunikationen fra uret eller fra appen, så kan man aflæse, hvad der bliver sendt og modtaget. Kommunikationsforbindelserne er slet ikke sikrede, siger Gert Læssøe Mikkelsen.
Det danske forbrugerråd vil nu afvente Datatilsynets afgørelse og i mellemtiden opfordre butikker til at tage urene med sikkerhedsfejl af hylderne og lade forældre, der har købt dem, få deres penge tilbage.
Der er mere om de usikre GPS-ure i Digitalt i eftermiddag klokken 13:30.
Rettelse: Gator Danmark oplyser, at fejlene beskrevet i artiklen drejer sig om urene af typen Gator 2 og den tilhørende app. Gator 2 er taget af det danske marked og er erstattet med Gator 3, samtidig med at man har introduceret en ny app.