Til hovedinnhold
Nyhet

– Disse klokkene hører ikke hjemme i butikkhyllene, og enda mindre under juletreet

Forbrukerrådet har funnet nye sikkerhetshull i barneklokker, men importørene mener hullene er tettet.

Ole Henrik Johansen, Tek.no (montasje, Finn Jarle Kvalheim, Tek.no)
Finn Jarle Kvalheim

Det har vært en del fokus på sikkerheten i nettilkoblede produkter i år, og spesielt er det GPS-klokker for barn som har fått tyn. Tidligere i år la Forbrukerrådet frem en rapport som viste store sikkerhetshull i klokkene som er laget for å spore og kommunisere med barna dine. Etter at produsentene lovte bot og bedring har Forbrukerrådet sjekket tilstanden på nytt - og for et par av aktørene har sikkerheten faktisk blitt dårligere.

Det er spesielt snakk om klokkene fra Gator og Viksfjord-klokkene som selges gjennom GPSforbarn.no. Den nye undersøkelsen, laget av Mnemonic for Forbrukerrådet, viser at Gators «fiks» i hvert fall en stund gjorde problemene verre, mens GPSforbarns nye app har tilsvarende feil som det som først ble påpekt.

– Lovnadene fra selskapene holder ikke vann. Disse klokkene hører ikke hjemme i butikkhyllene, og enda mindre under juletreet, uttaler direktør Randi Flesland i Forbrukerrådet.

Det er heller ikke bare det norske Forbrukerrådet som er skeptisk til disse produkttypene. En del GPS-klokker for barn ble nylig forbudt i Tyskland, og omtalt som avlyttingsenheter av myndighetene. Der handlet imidlertid kontroversen mer om at foreldre kan logge inn på klokka og lytte til sine barns aktiviteter - og avlytting uten samtykke er ikke tillatt i Tyskland. Problematikken er altså ikke helt den samme som Forbrukerrådet advarer mot, men det handler om personvern i begge tilfeller.

Feilen ble mer alvorlig

Gator 2 (øverst), fikk hard medfart i Forbrukerrådets første rapport. Siden ble brukerne oppgradert til Gator 3-plattformen, men der har Forbrukerrådet også funnet tilsvarende feil. Xplora-klokken nederst på bildet er ikke nevnt i undersøkelsen. Bilde: Ole Henrik Johansen / Tek.no

Gator 2-klokken fikk påvist alvorlige sikkerhetsproblemer i første undersøkelse. Det skal ha vært ganske enkelt for fremmede å koble seg til klokken for å spore barnet, og opplysninger om brukeren var også for dårlig sikret. I tillegg var denne klokken den eneste som hadde ukryptert kommunikasjon med nettet, slik at dataene ganske enkelt kan brukes om de blir snappet opp på vei gjennom nettet. I tillegg ble SOS-funksjonen i Gator 2 omtalt som særlig dårlig laget

Gators klokker har i utgangspunktet ikke funksjonen som ledet til forbudet i Tyskland, men da vi skrev om endringen i november uttalte de likevel at de var glade for regulering. Samtidig presiserte de at å utelukke dagens leverandører fra diskusjonen ville være uheldig, ettersom teknologien er såpass ny.

Etter oppstusset rundt Gator 2-klokken fikk selskapets kunder tilbud om å oppgradere til Gator 3-løsningen i stedet. Men Forbrukerrådets nye test viser at feil som er svært like de opprinnelige feilene fortsatt er der, og at en ny alvorlig brist har kommet til med Gator 3. Her kan foreldrene sende stemmebeskjeder til barna sine, men beskjeder knyttet til 4000 Gator 3-brukere lå åpent tilgjengelige på nettet da klokkene ble testet. Disse ble svært raskt fjernet da Gator fikk vite om dem, og det blir også nevnt av Mnemonics rapport for Forbrukerrådet.

Det påpekes forøvrig at den nye løsningen kom med et dyrere abonnement enn Gator 2.

Viksund-klokken fra GPSforbarn får pepper av Forbrukerrådet. GPSforbarn mener de har tettet hullene, og har bestilt en uavhengig undersøkelse. Bilde: Ole Henrik Johansen / Tek.no

GPSforbarn uttalte den gang at Forbrukerrådet opprinnelig hadde basert seg på informasjon som var utgått på dato, ettersom de mente at de hadde funnet og lukket hullene tidlig i oktober 2017.

Den nye undersøkelsen viser at hullene fortsatt er der. GPSforbarns Viksfjord-klokker var også åpne for angrep fra uvedkommende, og også kundeopplysninger lå tilgjengelige da Forbrukerrådet sjekket første gang.

I denne nye sjekken presiserer Forbrukerrådet at klokkene ble testet med den nye appen GPSforalle. Her fant de samme type feil som i forrige runde.

GPSforbarn: – Forbrukerrådet feilinformerer

Thomas Mathiesen i GPSforbarn mener at Forbrukerrådets informasjon ikke stemmer. Bilde: Pau S. Thürmer / GPSforbarn

– Forbrukerrådet går ut med informasjon som er feil, sier Thomas Mathiesen i GPSforbarn til Tek.no.

Mathiesen mener alle sårbarheter som har vært funnet underveis har blitt lukket kjapt, og ut fra selskapets egen tidslinje har også feilene som ble funnet i november blitt lukket kort tid etter at de ble gjort oppmerksom på problemene.

– De to nye feilene fra november er løst, og vi har i dag ingen kjente sårbarheter. Verken i mobilappen eller klokkene våre, forklarer Mathiesen.

Selskapet mener seg ganske maktesløse overfor en aktør som Forbrukerrådet, og sier løsningen deres i dag ikke har noen kjente feil. De Forbrukerrådet advarer mot skal allerede ha blitt tettet.

– Vi er sjokkerte over måten Forbrukerrådet misinformerer om oss. Vi er et lite firma, og vi har ikke midler til å gå til en rettssak mot Forbrukerrådet, avslutter Mathiesen.

Selskapet har bestilt en større uavhengig undersøkelse av sikkerheten i sine egne produkter, og regner med at rapporten om dette vil være klar 2. januar.

Gator: – Vi har allerede levert sikkerhetsrapporter

Fra Gator er beskjeden at de allerede har tettet sikkerhetshullene, og ferdigstilt undersøkelser fra tredjepart som viser at det ikke skal være mulig å hente ut persondata fra tjenestene.

Morten Sæthre i Gator sier de allerede har sendt inn en rapport til Datatilsynet. Men den har ikke Forbrukerrådet sett. Bilde: Multifoto AS

– Vi er den eneste som startet i februar med å utvikle en egen app basert på GDPR (red. anm: nye personvernregler innenfor EU) og Privacy by Design. Denne er under penetrasjonstesting nå og testen ferdigstilles neste uke. Appen har vi brukt tid og penger på, og den slippes neste uke, forklarer Morten Sæthre, markedssjef i Gator AS.

Men selskapet sier de hadde sikkerhetstester på saken i forbindelse med overgangen til Gator 3-løsningen uansett. Forbrukerrådet kom dem i forkjøpet med å varsle Datatilsynet, men i rapporten Gator oversendte Datatilsynet rett etterpå skal hullet være bekreftet fjernet.

– Vi synes det er veldig rart at Forbrukerrådet nevner oss nå, hvis de har sett denne testen.

Sæthre forklarer at de har hyret inn Evry for å holde den nye tjenesten oppdatert og sikret. Evry skal utføre en større inntrengningstest på tjenesten, og selskapet har dessuten alliert seg med andre for å drive løpende oppfølging og sikkerhetstesting av produktene.

Sæthre mener det er viktig å få frem at selskapet har jobbet med feilene og stengt de konkrete funnene etter hvert som de har blitt funnet.

Dette har altså vært sikkerhetshull i begge undersøkelsene, men for å utnytte dem kunne man ikke angripe helt på samme måte som med de første. Også Mnemonic-rapporten er tydelig på at de har måttet endre angrepene noe fra undersøkelse til undersøkelse.

Forbrukerrådet: – Annen virkelighetsoppfatning

Det er altså forholdsvis sterk uenighet mellom Forbrukerrådet og både Gator og GPSforbarn. Vi sendte de to aktørenes svar til Forbrukerrådet for å høre om de hadde kommentarer til dem.

– Ifølge Mathiesen i GPSforbarn ble alle sårbarheter vi gikk ut med i oktober lukket innen 13. oktober. Men sikkerhetsekspertene i Mnemonic fant i hovedsak de samme sårbarhetene da de undersøkte klokkene på ny i november, sier direktør Randi Flesland i Forbrukerrådet.

Hvordan ståa er med tjenesten akkurat i dette øyeblikket har imidlertid Forbrukerrådet foreløpig lite konkret å si om.

Direktør Randi Flesland i Forbrukerrådet avventer uavhengige rapporter som kan si at klokkene er trygge før en eventuell friskmelding av produktene. Bilde: Forbrukerrådet

– Siden det virker som om Mathiesen har en helt annen virkelighetsoppfatning enn oss, er det krevende å ta stilling til påstandene om at sårbarhetene på ny er håndtert. Det får bli en sak mellom dem og Datatilsynet.

For Gators del sier Forbrukerrådet at det er bra at de prøver å få kontroll på produktene sine, men;

– Samtidig bør Gator Norge svare for hvordan disse produktene landet i butikkhyllene med disse sikkerhetsbristene.

– I oktober gikk Forbrukerrådet ut med funnene, inklusive alvorlige funn om Gator 3. Likevel fikk Gator Norge sine kunder over på Gator 3-appen og påsto at alt var i orden med den.

Flesland bekrefter forøvrig Gators mistanke om at rapporten som er sendt Datatilsynet ikke er sett av Forbrukerrådet.

– Det er godt mulig at begge aktørene har gjort noe her, men sårbarhetene var der fortsatt da vi testet i november.

Flesland er tydelig på at historikken med lovnader om fiksing av hull før nye har blitt funnet er del av årsaken til at Forbrukerrådet ønsker en uavhengig bekreftelse på at klokkene er trygge.

– Begge disse klokkeimportørene som vi snakker om har hele tiden sagt at feilene har vært rettet. Vi er ikke villige til å friskmelde før vi får tredjeparts bekreftelse. Hvis Gator nå har den bekreftelsen, så er det det beste som kan skje.

NB! Vi avventer mer informasjon fra Datatilsynet i denne saken, og vet foreløpig ikke om Gators rapport har blitt videresendt Forbrukerrådet. De to organisasjonene jobber uavhengig av hverandre, men ofte med noen av de samme tingene, så det er ikke nødvendigvis automatikk i deling av informasjon mellom dem.

Les også
Dating-app delte brukernes HIV-status med tredjeparter
To av disse barneklokkene forblir i salg, men én trekkes fra butikkhyllene
Datatilsynet har nå pålagt stans for alle de tre barneklokke-aktørene
Apple har fikset det stygge sikkerhetshullet i macOS – legger seg flate
Kritisk sikkerhetshull i macOS lar hvem som helst logge inn som superbruker
Intel har avdekket alvorlig sikkerhetshull i sine prosessorer
Tyskland forbyr enkelte smartklokker for barn – i Norge møter produktene sterk kritikk fra Forbrukerrådet
Mer om
BarneklokkerDataGatorGPS-klokkeGpsforbarn
annonse
Schibsted er ansvarlig for dine data på denne siden.Les mer her