A mesma chave para todas as unidades: Pesquisadores de segurança invadiram os smartwatches Xplora

A Xplora é considerada líder de mercado em smartwatches para crianças. A empresa norueguesa anuncia agressivamente os mais altos padrões de segurança e transparência. Na Noruega, quase uma em cada cinco crianças entre 4 e 10 anos de idade usa um dispositivo desse tipo. No entanto, a realidade por trás da fachada de marketing parece bastante sombria, conforme evidenciado pelas investigações do site https://media.ccc.de/v/39c3-watch-your-kids-inside-a-children-s-smartwatch#t=302 da universidade alemã TU Darmstadt.

Estudante de mestrado desmascara líder de mercado

Como parte de sua tese de mestrado, Malte Vu examinou um relógio Xplora atual sob a supervisão de Nils Rollshausen. O tempo necessário para a primeira violação foi surpreendentemente baixo. Em poucos dias, eles conseguiram ativar o modo de desenvolvedor protegido por PIN do relógio e extrair o software. Malte Vu decifrou manualmente o código PIN necessário em apenas algumas horas.

A análise subsequente revelou uma falha de segurança fundamental, pois os pesquisadores encontraram uma chave criptográfica geral que é idêntica em todos os dispositivos do mesmo tipo.

Acesso em massa via IMEI

Essa chave universal permite o acesso profundo aos dados. Os invasores precisam apenas do número IMEI do relógio em questão, que é um número de identificação de 15 dígitos. Os primeiros 8 dígitos são idênticos para todas as unidades de um modelo específico, seguidos por um número de série de 6 dígitos e um único número de controle no final.

Em sua apresentação na 39C3, Rollshausen ilustrou a simplicidade de uma varredura automatizada de toda a faixa IMEI de um fabricante. Esse programa poderia, teoricamente, ler os dados de todo o inventário de relógios. As consequências são enormes, pois estranhos podem ler bate-papos particulares, interceptar imagens e anotações de voz ou até mesmo manipular a localização. É possível até mesmo enviar mensagens falsas para o aplicativo dos pais em nome da criança. Os canais de comunicação também estariam abertos em ambas as direções.

Reações hesitantes e atualizações sem melhorias

Embora a Xplora tenha sido informada sobre essas vulnerabilidades já em maio de 2025, a adoção das medidas apropriadas demorou muito tempo. Uma atualização inicial em agosto simplesmente aumentou o comprimento do PIN para 6 dígitos e limitou o número de tentativas fracassadas. Parece que o fabricante estava tentando impedir que pesquisadores e hackers acessassem o modo de desenvolvedor.

A falha de segurança real, ou seja, a chave universal, permaneceu em vigor. Como o fabricante parou de responder às perguntas em outubro, os pesquisadores envolveram o Escritório Federal de Segurança da Informação da Alemanha.

Alguma esperança para janeiro de 2026

Outra atualização no final de outubro também não forneceu nenhuma correção, e pequenas alterações no exploit foram suficientes para recuperar o acesso total. A Xplora anunciou agora uma atualização de segurança abrangente para janeiro de 2026. É altamente recomendável instalar essa atualização imediatamente após o lançamento. Após várias ligações telefônicas com o fabricante no final de dezembro de 2025, Rollshausen espera uma solução adequada.

Como um experimento técnico, Rollshausen mostrou ainda uma solução alternativa. Ele instalou o mensageiro seguro Signal diretamente no relógio. Isso ilustra o problema central: atualmente, os pais precisam decidir se confiam na segurança anunciada pelo fabricante ou se escolhem manualmente outro canal de comunicação protegido.