GPS-klokker som gjør at foreldre kan ha kontroll på hvor barna er, har vært omstridt helt siden de kom på markedet. Titusenvis norske foreldre har kjøpt klokke til barna sine.

Nå kommer Forbrukerrådet med en avsløring som viser at GPS-klokkene har hatt alvorlige sikkerhetsfeil, som i verste fall har kunnet sette barn i fare.

«Fremmede kan enkelt ta kontroll over klokken og bruke den til å spore og avlytte barnet», konkluderer Forbrukerrådet.

Forbrukerministeren: – Urovekkende og alvorlig

Det som avsløres i undersøkelsen er «sterkt urovekkende», mener forbrukerminister Solveig Horne (Frp).

REAGERER: Forbrukerminister Solveig Horne (Frp). Foto: Bøe, Torstein / NTB scanpix

– Klokkene har alvorlige sikkerhetsbrister, og de bryter med nær sagt alt som har med personvern og forbrukervern å gjøre. Dette er spesielt alvorlig siden det er produkter for barn. Jeg forventer at forhandlere og produsenter tar ansvar og viser at de tar forbrukerrettigheter og personvern på alvor. Det gjelder ikke bare disse klokkene, men også andre nett-tilkoblede produkter – enten de er rettet mot barn eller voksne, sier Solveig Horne.

Ved hjelp av sikkerhetsselskapet Mnemonic har Forbrukerrådet testet de mest populære smartklokkene for barn – Gator 2, Viksfjord, Xplora og Tinitell. Testen har avdekket elendig sikkerhet på de tre førstnevnte klokkene. Særlig Gator og Viksfjord kommer dårlig ut av testen.

I tillegg får Gator, Viksfjord og Xplora strykkarakter på nesten alle punktene som omhandler personvern.

MYE RØDT: Dette er de viktigste resultatene fra undersøkelsen #WatchOut. I etterkant av undersøkelsen sier de norske distributørene at de har fikset problemene eller at de er i ferd med å gjøre det. Foto: Grafikk: Fredrik Saltbones

Dette er de mest alvorlige funnene

ALVORLIGE FEIL: Gator 2-klokken er den mest solgte GPS-klokken for barn i Norge. Gator har nå lansert en ny versjon, Gator 3, som ifølge den norske distributøren vil rette opp de alvorlige feilene som Gator 2 har. Foto: Morten Uglum

Gator: Lett å hacke kontoen

Få tilgang til kontoen: For å få tilgang til samme informasjon som foreldrene trenger fremmede det Mnemonic omtaler som «grunnleggende hackingkunnskap» og registreringskoden som står på baksiden av klokken, en kode hackere også kan finne via internett. Da er det mulig å opprette en konto, og på den måten kan fremmede få tilgang til navn, hvor klokken er, og så videre, i Gators app.

«Location spoofing»: Ved hjelp av et litt mer avansert angrep kan fremmede gjøre noe som kalles «location spoofing». Det betyr at man kan manipulere informasjonen som sendes fra GPS-klokken til foreldrenes app. Kort sagt: Man kan få det til å se ut som klokken befinner seg et annet sted enn den gjør.

– Det er litt mer avansert enn å få tilgang til kontoen, men du må ikke være et geni for å få det til. Det er mulig å lære seg det ved å se en video på Youtube, sier Harrison Sand, som ledet undersøkelsen utført av sikkerhetsselskapet Mnemonic.

ALVORLIGE FEIL: GPS for alle, som distribuerer Viksfjord-klokken (som kommer i flere forskjellige versjoner med ulike navn) mener de har fikset feilene ved klokken. Det har imidlertid ikke Forbrukerrådet noe tro på. Foto: Morten Uglum

Viksfjord: Mulig å smuglytte til mikrofonen

Få tilgang til kontoen: GPS-klokken fra Viksfjord har et lignende problem som Gator: Det er lett å få tilgang til kontoen som foreldrene bruker til å logge seg på appen. Også her står koden man trenger bakpå klokken. Det er også mulig å finne registreringskoden via internett, men det er litt vanskeligere enn det er for Gator-klokken.

Mulig å smuglytte: Det er mulig å opprette en samtale med klokken uten at foreldrene eller barnet er klar over det. På denne måten kan man smuglytte til det som skjer rundt barnet.

«Location spoofing»: Viksfjord-klokken har samme problem Gator når det gjelder «location spoofing».

DÅRLIG SERVERSIKKERHET: Xplora-klokken hadde ikke så omfattende sikkerhetshull som Gator og Viksfjord. – Det representerer ikke lenger et sikkerhetsproblem, sier Svenn Jarle Simonsen i PepCall, som distribuerer Xplora-klokken i Norge. Foto: Morten Uglum

Xplora: Mulig å få tilgang til informasjon om kundene

Dårlig serversikkerhet: Hovedproblemet ved Xplora er at serveren som informasjonen til kundene er lagret på, ikke er sikret ordentlig. Sikkerhetsselskapet Mnemonic ønsker ikke gå for mye i detalj, men det er mulig for en hacker å få tilgang på informasjon om Xploras kunder.

Tinitell: Ingen alvorlige sikkerhetshull

Tinitell kommer best ut av denne undersøkelsen. Mnemonic har ikke funnet noen alvorlige sikkerhetsfeil.

«BEST I TEST»: Tinitell-klokken produseres i Sverige, mens Xplora produseres i Sør-Korea og Gator og Viksfjord produseres i Kina. Mnemonic fant ingen sikkerhetshull da de testet Tinitell-klokken. Foto: Halvor Solhjem Njerve, Forbrukerrådet

Det skal også sies at Tinitell-klokken har betydelig færre funksjoner enn de andre klokkene i testen.

– Vi kan ikke konkludere med at den er sikker, men vi fant ingen sikkerhetshull i løpet av den tiden vi undersøkte den, sier Harrison Sand i Mnemonic.

Alle produsentene hevder at de enten har fikset feilene som er påpekt i undersøkelsen, eller at de er i ferd med å gjøre det (les utfyllende svar under).

– Alltid risiko for sikkerhetshull

Thomas Mathiesen, gründeren bak nettbutikken gpsforbarn.no, som selger Viksfjord-klokkene, reagerer på Forbrukerrådets opptreden og mener «målet virker å være publisitet fremfor å hjelpe norske bedrifter til å bli bedre».

– I moderne teknologi vil det alltid være risiko for sikkerhetshull. Dette er ikke noe problem som har vært stort. Skal man skrive om alle sikkerhetshull innen teknologi, blir det mye, sier Mathiesen.

– Har dere rettet opp de feilene som er påpekt i rapporten?

– Vi har rettet opp i de to sårbarhetene som ble funnet. En liten gruppe kunder har fremdeles sårbare klokker. Vi har sendt disse kundene en e-post, slik at vi kan få lukket sårbarheten, sier Mathiesen.

I e-posten GPS for barn sendte kundene sine omtales sikkerhetsoppdateringen som en «valgfri programvareoppdatering» (se bildet).

Slik ser e-posten GPS for barn sendte ut til sine kunder. Foto: Skjermdump

Gator Norge sier de er «overrasket og skuffet» over at det fantes sikkerhetshull. Klokken som ble testet, Gator 2, har de sluttet å selge. Nå lover selskapet at problemene skal være borte på den nye utgaven, Gator 3.

– Vi jobber nå med å flytte over kundene fra Gator 2 til Gator 3-serveren. Vi tilbyr også alle som har kjøpt en Gator 2, en splitter ny Gator 3 som kompensasjon, sier Morten Sæthre, markedssjef i Gator.

SKEPTISK: Randi Flesland, direktør i Forbrukerrådet. Foto: Forbrukerrådet

Forbrukerrådet skeptisk til «forbedringene»

I rapporten fra Mnemonic står det at problemet ved systemet til Gator 2- og Viksfjord-klokkene er så komplekse at det vanskelig lar seg løse på en tilfredsstillende måte. Rapporten omtaler også Gator 3.

– Vi fant ut at Gator 3 var sårbar for det samme som Gator 2, men det er ikke lenger mulig å overta kontrollen over kontoen på samme måte som på Gator 2, heter det i rapporten.

Forbrukerrådet tviler derfor på at problemene ved klokkene lar seg løse så enkelt som de norske distributørene hevder.

– Vi har ikke sett noe tredjepartsverifikasjon som bekrefter at de påståtte endringene løser problemene vår sikkerhetspartner Mnemonic har funnet. At «GPS for barn» ber sine kunder om å sende sine passord på epost, styrker ikke vår tillit til at kundenes datasikkerhet tas på alvor, sier Randi Flesland, direktør i Forbrukerrådet.

Hun har følgende råd til de som har kjøpt smartklokker til barn:

  1. Vi ville ikke ha kjøpt denne typen smartklokker før funksjonalitet og sikkerhet er på et tilfredsstillende nivå.

  2. Be selger om å få kjøpesum tilbake. Vis til sikkerhetsbristene, funksjoner som ikke virker og brudd på personvern.