Nieuws

Kindersmartwatch Enox Safe Kid One van de markt gehaald door EU

20 februari 2019

20 februari 2019
De smartwatch voor kinderen Enox Safe Kid One is weinig veilig gebleken op het vlak van privacy: iedereen kan achterhalen waar de minderjarige zich bevindt en contact met hem opnemen. Redenen genoeg voor de EU om het toestel van de markt te halen.

De Europese Commissie heeft de terugtrekking van de markt bevolen van de kindersmartwatch Enox Safe Kid One. Via de op het apparaat geïnstalleerde app kan het horloge worden getraceerd en kan het oproepen ontvangen die de veiligheid van minderjarigen in gevaar kunnen brengen. Normaal geeft een ouder aan zijn of haar kind de smartwatch omdat het dan lokaliseerbaar is. Het probleem is dat mensen met kwade bedoelingen het kind via de smartwatch ook kunnen lokaliseren. Wij waarschuwden eind 2017 al dat bepaalde smartwatches voor kinderen gemakkelijk kunnen worden gehackt.

Hoe dit model van smartwatch werkt

Het horloge, dat door het Duitse bedrijf Enox wordt geproduceerd, bevat een ingebouwde gps, microfoon en luidspreker, biedt functionaliteit voor oproepen en sms-beheer, en beschikt over een bijbehorende app voor Android die ouders kunnen gebruiken om hun kinderen te traceren en contact met hen op te nemen. Het is het klassieke product om toezicht te houden op je eigen kinderen.

Op de officiële website wordt het horloge als volgt voorgesteld: “Om je kind in het oog houden, ermee te praten en er toezicht op te houden op elke plaats en op elk moment”.

Afgezien van de verontrustende scenario's die door een dergelijke beschrijving worden opgeroepen, is het product niet veilig in IT-opzicht. In theorie werkt het zo: dankzij de aanwezigheid van een simkaart en een gps-module in het horloge kunnen ouders de positie van hun kind in realtime zien via een speciale app die op hun telefoon is geïnstalleerd. Ze kunnen het traject zien dat het kind in het laatste half uur of in het laatste uur heeft afgelegd, en worden gewaarschuwd als het kind een bepaald geografisch gebied verlaat. Het horloge kan bellen naar drie nummers die door de ouder zijn ingesteld en alleen vooraf goedgekeurde nummers kunnen het bellen.

Onveilige smartwatch

Tests op het apparaat hebben aangetoond dat het systeem niet-versleutelde communicatie gebruikt met de backendserver en dat de server ook aan niet-geauthenticeerde personen toegang tot deze gegevens verleent. Dat betekent dat alle door de smartwatch naar de server verzonden gegevens, zoals posities, telefoonnummers en andere informatie, gemakkelijk kunnen worden opgehaald en gewijzigd. Door de beveiligingsfout kunnen ook van op afstand commando‘s naar het horloge worden gestuurd om de vooraf ingestelde nummers te wijzigen of met het kind te communiceren, maar het ook te lokaliseren via gps.

Momenteel wordt het horloge niet verkocht in België, maar dat is wel het geval geweest. Op het typegoedkeuringscertificaat staat dat de smartwatch sinds 2016 op de markt is. Het product voldoet niet aan de richtlijn betreffende radioapparatuur en de EU heeft gevraagd om een terugroeping van het product met waarschuwingen voor de gebruikers. Tot slot wijzen wij erop dat dit de eerste keer is dat Europa tussenbeide komt voor een product wegens schending van de privacy.

De tussenkomst van de Europese Unie

De Europese Unie heeft besloten dit product uit de handel te halen door dat te melden op Rapex, het platform dat meldingen uit 31 Europese landen verzamelt over de veiligheid van producten (met uitzondering van voedingsmiddelen, geneesmiddelen en medische hulpmiddelen) die een ernstig risico voor de gezondheid en veiligheid van de consument vormen (bijvoorbeeld speelgoed, cosmetica, elektrische apparaten, voertuigen enz.). Wanneer een product gevaarlijk wordt geacht, neemt de bevoegde nationale autoriteit passende maatregelen om het gevaar weg te nemen: het kan het product van de markt halen, het terugroepen als het de consument al heeft bereikt of de verkoop ervan op de nationale markt verbieden.

Waarom het belangrijk is om over deze zaak na te denken

Enox is een weinig bekend Duits merk en het is bijgevolg onwaarschijnlijk dat Belgische consumenten werden getroffen. Het nieuws heeft echter een belang dat verder reikt dan het individuele geval. Dit is een concreet voorbeeld van het feit dat cyberveiligheid een serieuze zaak is en dat niet elk bedrijf over de capaciteiten beschikt om die veiligheid te garanderen. In een tijd waarin steeds meer objecten communicatiemogelijkheden via het internet beginnen te integreren, is dat verontrustend.

Het feit dat de EU via haar bevoegde instanties de kwestie in de gaten houdt, is zeker goed nieuws, maar consumenten moeten ook zichzelf leren te beschermen. Aangezien niet kan worden verwacht dat iedereen kan beoordelen of een elektronisch apparaat veilig is of niet, is het beter een voorzorgsprincipe toe te passen en jezelf af te vragen voordat je een kindersmartwatch (maar ook een koelkast of een airconditioner) koopt:

  • moet die echt verbonden zijn met het internet?
  • Weegt de mogelijkheid om mijn kind via het internet te traceren op tegen het risico dat het ook door derden wordt getraceerd?
  • Is het bedrijf in kwestie betrouwbaar op het gebied van cyberveiligheid?

Ons advies

Als je een dergelijke smartwatch hebt gekocht, raden wij je aan om contact op te nemen met de verkoper voor een terugbetaling van uw aankoop. Doet de verkoper moeilijk over de terugbetaling, meld het ons dan via onze klachtenbox

Ga naar de klachtenbox