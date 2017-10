GPS-klokker som gjør at foreldre kan ha kontroll på hvor barna er, har vært omstridt helt siden de kom på markedet. Titusenvis norske foreldre har kjøpt klokke til barna sine.

Nå kommer Forbrukerrådet med en avsløring som viser at GPS-klokkene har hatt alvorlige sikkerhetsfeil, som i verste fall har kunnet sette barn i fare.

«Fremmede kan enkelt ta kontroll over klokken og bruke den til å spore og avlytte barnet», konkluderer Forbrukerrådet.

Forbrukerministeren: – Urovekkende og alvorlig

Det som avsløres i undersøkelsen er «sterkt urovekkende», mener forbrukerminister Solveig Horne (Frp).

– Klokkene har alvorlige sikkerhetsbrister, og de bryter med nær sagt alt som har med personvern og forbrukervern å gjøre. Dette er spesielt alvorlig siden det er produkter for barn. Jeg forventer at forhandlere og produsenter tar ansvar og viser at de tar forbrukerrettigheter og personvern på alvor. Det gjelder ikke bare disse klokkene, men også andre nett-tilkoblede produkter – enten de er rettet mot barn eller voksne, sier Solveig Horne.

Fakta om undersøkelsen: Forbrukerrådet står bak testen som hadde som mål å undersøke sikkerheten og personvernet ved bruk av GPS-klokker for barn.

Sikkerhetsdelen av undersøkelsen er utført av sikkerhetsfirmaet Mnenonic, mens Forbrukerrådet har vurdert personvernet.

Barne- og likestillingsdepartementet har finansiert prosjektet.

Forbrukerrådet i Norge samarbeider nå med forbrukerråd i andre land. Funnene i undersøkelsen offentliggjøres på likt i ti ulike land der klokkene selges.

Ved hjelp av sikkerhetsselskapet Mnemonic har Forbrukerrådet testet de mest populære smartklokkene for barn – Gator 2, Viksfjord, Xplora og Tinitell. Testen har avdekket elendig sikkerhet på de tre førstnevnte klokkene. Særlig Gator og Viksfjord kommer dårlig ut av testen.

I tillegg får Gator, Viksfjord og Xplora strykkarakter på nesten alle punktene som omhandler personvern.

Fakta om GPS-klokkene: Alle klokkene markedsføres mot foreldre med barn, og produktet er ment som et alternativ til en mobiltelefon. Gator: Produseres i Kina Distribueres i Norge av Gator AS Viksfjord: Produseres i Kina Distribueres i Norge av Etterforsker 1 AS (trademark: GPS For Barn) Xplora: Produseres i Sør-Korea Distribueres i Norge av Pepcall AS Tinitell: Produseres i Sverige Distribueres i Norge av Tinitell AB

Dette er de mest alvorlige funnene

Gator: Lett å «hacke» kontoen

Få tilgang til kontoen: For å få tilgang til samme informasjon som foreldrene trenger fremmede bare registreringskoden som står på baksiden av klokken, en kode det også er mulig å finne på internett. Da lager man bare en konto med dette nummeret, og på den måten kan fremmede få tilgang til navn, hvor klokken er, og så videre, i Gators app.

«Location spoofing»: Ved hjelp av et litt mer avansert angrep kan fremmede gjøre noe som kalles «location spoofing». Det betyr at man kan manipulere informasjonen som sendes fra GPS-klokken til foreldrenes app. Kort sagt: Man kan få det til å se ut som klokken befinner seg et annet sted enn den gjør.

– Det er litt mer avansert enn å få tilgang til kontoen, men du må ikke være et geni for å få det til. Det er mulig å lære seg det ved å se en video på Youtube, sier Harrison Sand, som ledet undersøkelsen utført av sikkerhetsselskapet Mnemonic.

Viksfjord: Mulig å smuglytte til mikrofonen

Få tilgang til kontoen: GPS-klokken fra Viksfjord har et lignende problem som Gator: Det er lett å få tilgang til kontoen som foreldrene bruker til å logge seg på appen. Også her står koden man trenger bakpå klokken. Det er også mulig å finne registreringskoden via internett, men det er litt vanskeligere enn det er for Gator-klokken.

Mulig å smuglytte: Det er mulig å opprette en samtale med klokken uten at foreldrene eller barnet er klar over det. På denne måten kan man smuglytte til det som skjer rundt barnet.

«Location spoofing»: Viksfjord-klokken har samme problem Gator når det gjelder «location spoofing».

Xplora: Mulig å få tilgang til informasjon om kundene

Dårlig serversikkerhet: Hovedproblemet ved Xplora er at serveren som informasjonen til kundene er lagret på, ikke er sikret ordentlig. Sikkerhetsselskapet Mnenonic ønsker ikke gå for mye i detalj, men det er mulig for en hacker å få tilgang på informasjon om Xploras kunder.

Tinitell: Ingen alvorlige sikkerhetshull

Tinitell kommer best ut av denne undersøkelsen. Mnenonic har ikke funnet noen alvorlige sikkerhetsfeil.

Det skal også sies at Tinitell-klokken har betydelig færre funksjoner enn de andre klokkene i testen.

– Vi kan ikke konkludere med at den er sikker, men vi fant ingen sikkerhetshull i løpet av den tiden vi undersøkte den, sier Harrison Sand i Mnenonic.

Alle produsentene hevder at de enten har fikset feilene som er påpekt i undersøkelsen, eller at de er i ferd med å gjøre det (les utfyllende svar under).

– Alltid risiko for sikkerhetshull

Thomas Mathiesen, gründeren bak nettbutikken gpsforbarn.no, som selger Viksfjord-klokkene, reagerer på Forbrukerrådets opptreden og mener «målet virker å være publisitet fremfor å hjelpe norske bedrifter til å bli bedre».

– I moderne teknologi vil det alltid være risiko for sikkerhetshull. Dette er ikke noe problem som har vært stort. Skal man skrive om alle sikkerhetshull innen teknologi, blir det mye, sier Mathiesen.

– Har dere rettet opp de feilene som er påpekt i rapporten?

– Vi har rettet opp i de to sårbarhetene som ble funnet. En liten gruppe kunder har fremdeles sårbare klokker. Vi har sendt disse kundene en e-post, slik at vi kan få lukket sårbarheten, sier Mathiesen.

I e-posten GPS for barn sendte kundene sine omtales sikkerhetsoppdateringen som en «valgfri programvareoppdatering» (se bildet).

Gator Norge sier de er «overrasket og skuffet» over at det fantes sikkerhetshull. Klokken som ble testet, Gator 2, har de sluttet å selge. Nå lover selskapet at problemene skal være borte på den nye utgaven, Gator 3.

– Vi jobber nå med å flytte over kundene fra Gator 2 til Gator 3-serveren. Vi tilbyr også alle som har kjøpt en Gator 2, en splitter ny Gator 3 som kompensasjon, sier Morten Sæthre, markedssjef i Gator.

Forbrukerrådet skeptisk til «forbedringene»

I rapporten fra Mnemonic står det at problemet ved systemet til Gator 2- og Viksfjord-klokkene er så komplekse at det vanskelig lar seg løse på en tilfredsstillende måte. Rapporten omtaler også Gator 3.

– Vi fant ut at Gator 3 var sårbar for det samme som Gator 2, men det er ikke lenger mulig å overta kontrollen over kontoen på samme måte som på Gator 2, heter det i rapporten.

Forbrukerrådet tviler derfor på at problemene ved klokkene lar seg løse så enkelt som de norske distributørene hevder.

– Vi har ikke sett noe tredjepartsverifikasjon som bekrefter at de påståtte endringene løser problemene vår sikkerhetspartner Mnemonic har funnet. At «GPS for barn» ber sine kunder om å sende sine passord på epost, styrker ikke vår tillit til at kundenes datasikkerhet tas på alvor, sier Randi Flesland, direktør i Forbrukerrådet.

Hun har følgende råd til de som har kjøpt smartklokker til barn: