Det norske selskapet Xplora hevder funksjonene aldri har blitt brukt og at de ble fjernet kort tid etter at de ble gjort oppmerksomme på dem.
«Vi bør være trygge på at teknologien som tilbys fortsatt lar barn være barn», skriver Xplora på sine nettsider om smartklokken Xplora 4. Omtrent 100.000 smartklokker av denne modellen har blitt solgt på verdensbasis.
Smartklokken tilbyr foreldre muligheten til å kommunisere og holde øye med barna sine uten å gi dem en smarttelefon.
Men nylig publiserte funn av sikkerhetsforskere ved Mnemonic viser at klokken har hatt andre, og til nå, ukjente funksjoner. De har funnet det de kaller en bakdør i smartklokken Xplora 4 som gjør det mulig å ta bilder, avlytte telefonsamtaler, og spore lokasjon i sanntid.
– Bakdøren er ikke en sikkerhetssårbarhet. Det er en funksjon som er utviklet med vilje, med funksjonsnavn som inkluderer «remote snapshot», «send location», og «wiretap». Bakdøren blir aktivisert med å sende en SMS-kommando til klokken, står det i Mnemonics oppsummering av funnene.
For å bruke den påståtte bakdøren må man ha to biter av informasjon, ifølge sikkerhetsforskerne. Den første er en hemmelig krypteringsnøkkel som selskapet har tilgang til, dernest brukerens telefonnummer. Det gjør funksjonene svært vanskelige å utnytte, ifølge sikkerhetsforskerne og Xplora.
Sikkerhetsforskerne mener at dette er opplysninger det er sannsynlig at Xplora og deres kinesiske samarbeidsbedrift vil ha tilgang til.
Det var teknologinettstedet Ars Technica som først omtalte saken.
Aldri i bruk
Grunnlegger og sjef for Xplora, Sten Kirkbak, mener sikkerhetsforskerne har funnet overvåkningsfunksjoner som aldri ble tatt i bruk. Disse var originalt tenkt å brukes om et barn kom bort fra foreldrene sine eller var i nød.
Ifølge Kirkbak stammer ideen om disse funksjonene fra en hendelse da han selv kom bort fra sin fire år gamle sønn på et kjøpesenter.
– Vi bestrider på det sterkeste påstanden fra Mnemonic om at dette er en såkalt bakdør. Vår hensikt med disse funksjonene i en prototype var at de skulle tillate at foreldre fjernstyrte lokalisering, opptak- og bildefunksjonen på klokken i en nødsituasjon. Disse funksjonene ble aldri tatt i bruk på grunn av GDPR, sier Kirkbak til NRKbeta.
GDPR, også kalt personvernforordningen, ble innført i norsk lov i 2018.
– Ved en glipp lå det likevel igjen kodelinjer i programvaren, og disse ble slettet i en obligatorisk oppdatering den 9. oktober klokken 08.00, sier Kirkbak.
– Dere valgte å droppe nødfunksjonene, men hvorfor ble de ikke fjernet helt fra smartklokkene?
– Koden i plattformen og appen ble slettet, men ved en glipp ble ikke alle disse kodelinjene i sin helhet slettet fra alle klokkens applikasjonslag i firmware. Det er snakk om en menneskelig feil, svarer Kirkbak.
Kirkbak er kritisk til Mnemonic, som ham mener ikke har gjort seg tilgjengelige for å rette opp det han mener er en «ubalansert og spekulativ» rapport. Mnemonic bestrider denne beskrivelsen og hevder at de har gitt selskapet mulighet til å gå gjennom funnene skriftlig eller over telefon.
Problematiserer kinesisk samarbeid
Det er ikke dokumentert av overvåkningsfunksjonene sendte data til noen andre enn Xplora, men sikkerhetsforskerne ved Mnemonic mener de fant referanser til og kommunikasjon med servere eid av det kinesiske selskapet Qihoo 360 i sine tekniske analyser.
Qihoo 360 er underlagt eksportrestriksjoner i USA på grunn av «en betydelig risiko» for at teknologi og materialer kan benyttes til militære formål av Kina, noe Mnemonic påpeker i sitt blogginnlegg.
Det er også slik at en variant av smartklokken selges av Qihoo i Kina. Xplora har en avtale med 360 Kids Guard, et underselskap av Qihoo 360, om produksjon og utvikling av smartklokken. Kirkbak hevder at smartklokkene som selges av dem er «svært forskjellig».
– Nøkkelkomponenter er blitt redesignet og tilpasset i henhold til amerikanske og europeiske retningslinjer for blant annet mobiltelefonstråling, sier Kirkbak, som også understrekes at alle data lagres og behandles på Xploras servere i Tyskland.
Kirkbak bestrider videre at deres smartklokker kommuniserer med servere i Kina. Ifølge ham ble kodelinjene, som Mnemonic mener kommuniserer med servere kontrollert av Qihoo 360, fjernet i november 2019 i en oppdatering.
Xplora har også en databehandleravtale med 360 Kids Guard som skal sikre at brukernes informasjon ikke misbrukes.
– Man må også ta i betraktning at til og med USA tillater handel med Qihoos datterselskaper, selv om morselskapet er underlagt egne eksportrestriksjoner fra amerikanernes side. Det sier nok sitt om at risikobildet er mindre enn Mnemonic spekulerer i, sier Kirkbak.
Xplora priset til 381 millioner
Nylig hentet Xplora Technologies inn 100 millioner kroner til en pris på 381 millioner kroner, ifølge Finansavisen.
Det norske selskapet har vokst kraftig de siste årene og oppgir selv å ha solgt mer enn 350.000 smartklokker på verdensbasis.
Slike smartklokker for barn fikk i 2017 hard kritikk av Forbrukerrådet for å ha «elendig sikkerhet». Xplora stod for en av de omtalte modellene og etter rapporten hevdet selskapet at de forbedret sikkerheten.
– Vi tar sikkerhet overfor barn veldig alvorlig. Her må vi være ledende, for det er jo grunnlaget for virksomheten vår, sa Sten Kirkbak i Xplora til Digi i etterkant.