Im Rahmen unseres umfassenden Tests von Smartwatches für Kinder haben wir auch die CARL Kids Watch von CAT Berlin unter die Lupe genommen. Übrigens eines der wenigen Modelle auf dem Markt, welches unter einem deutschen Label verkauft wird und folglich bei den Kunden eine gewisse Erwartungshaltung hinsichtlich der Qualität erzeugt. Der folgende Testbericht wird zeigen, ob diese Erwartungshaltung gerechtfertigt ist – oder eben nicht.

App-Sicherheit

Die statische Analyse der Android-App (com.cat.carltracking, version 2.1.5.1) resultiert bereits in einer langen Liste potentiell kritischer Problempunkte, die schon unmittelbar im Quellcode identifiziert werden können.  Die meisten der auf diese Weise aufgedeckten Punkte beziehen sich auf die fehlende oder fehlerhafte Umsetzung von Zertifikat-Pinning in Verbindung mit HTTPS-gesicherten Verbindungen. Dabei sind insbesondere die wiederholten Fälle von Leerimplementation kritischer Funktionen des sogenannten TrustManagers, der für die Validierung von Zertifikaten verantwortlich ist, als problematisch einzustufen. Insofern bei der CARL App die wesentlichen Methoden „checkServerTrusted” und „getAcceptedIssuers” unzureichend implementiert sind, bedeutet dies auch, dass so ziemlich jeder Server mit irgendeinem präsentierten Zertifikat akzeptiert wird. Damit sind Tür und Tor geöffnet für einen Man-in-the-Middle-Angriff auf Verbindungen, die eigentlich verschlüsselt sind.

Bei der statischen Analyse zeigte sich darüber hinaus, dass unverschlüsselte Verbindungen eingesetzt werden und eine ausführliche Logdatei ungesichert auf der SD-Karte gespeichert wird. Das Passwort des Accounts in Klartext gehört beispielsweise zu den wichtigen Detailinfos, die in der besagten Logdatei abgelegt werden.

Ausschnitt aus der Logdatei, ungesichert gespeichert auf der SD-Karte
Ausschnitt aus der Logdatei, ungesichert gespeichert auf der SD-Karte

Eine Vielzahl kleinerer und größerer Sicherheitslücken sind desweiteren durch eine ganze Reihe von Modulen von Drittanbietern entstanden, die in die App eingebaut wurden. In Kombination mit den obengenannten Schwachstellen kann man der App insgesamt nur einen niedrigen Sicherheitslevel bescheinigen.

Online-Kommunikation

Die statische Analyse der App hat gewissermaßen schon darauf hingedeutet: die Kommunikation über das Internet ist in vielen Fällen – besser gesagt in allen beobachteten Fällen – überhaupt nicht oder nur unzureichend abgesichert. Nehmen wir als Beispiel die Registrierung, welche, inklusive des per E-Mail gesendeten Bestätigungs-/Aktivierungslinks, komplett über eine ungesicherte und unverschlüsselte HTTP-Verbindung läuft. Heißt: weder Nutzerinformationen noch Account-Passwort sind angemessen geschützt.

Im Ergebnis kann bei der praktischen Analyse der Online-Kommunikation festgestellt werden, dass wir keine Online-Funktion der App finden konnten, die im Falle einer Ausspähung durch Dritte und/oder bei Manipulationen als ausreichend geschützt zu bezeichnen wäre. In dem Produktbereich, in dem wir uns hier bewegen, kann ein solches Ergebnis schwerwiegende Konsequenzen haben – und wird auch bei der Bewertung dieser Kinderuhr als Negativpunkt berücksichtigt.

Datenschutz

Die Datenschutzerklärung von CAT Berlin ist kompliziert geschrieben, nur in Englisch verfügbar und kann nur über einen Link im Google Play Store eingesehen werden, oder nachdem man die App registriert hat. Auf der Webseite des Herstellers kann man die Datenschutzerklärung lange suchen …

Bei „Speicherfristen“ handelt es sich gerade auch im Fall von Smartwatches für Kinder wie die CARL Kids Watch um einen recht wichtigen Aspekt, da solche Geräte Bewegungsprofile der Kinder erstellen. Abgesehen von fehlenden Informationen zu Datenspeicherung und Speicherfristen, wird in der Datenschutzerklärung auch nicht darauf hingewiesen, wo die Daten verarbeitet werden. Der aufgezeichnete Netzwerk-Traffic zeigt klar und deutlich, dass mit chinesischen Servern kommuniziert wird. In der Datenschutzerklärung findet dies jedoch keine Erwähnung, so dass auch bei der Wertung in diesem Bereich keine Punkte für die Kinderuhr zu holen sind.

Berechtigungen der Android-App
Berechtigungen der Android-App

Fazit

CARL Kids von CAT Berlin ist eine der wenigen Kinderuhren unter deutschem Label; zugegebenermaßen hatten wir entsprechend hohe Erwartungen, als wir sie analysiert haben. Erfüllt haben sich unsere Erwartungen nicht. Ganz im Gegenteil: Das Produkt zeigte in einigen kritischen technischen Bereichen sogar gravierende Schwächen. Auch in der wichtigen Kategorie Datenschutzerklärung konnte die Kinderuhr nicht überzeugen, so dass letztlich in keiner Kategorie ein Stern vergeben werden konnte.