Verschillende gps-horloges voor kinderen zijn kwetsbaar voor spoofing en kunnen daarom niet worden aangeraden, zo stelt het Duitse testlab AV-Test. Ook blijken de apparaten allerlei andere kwetsbaarheden te bevatten. In totaal werden zes kinderhorloges door AV-Test onder handen genomen.

Het gaat om het gps-horloge van BELIO, de Two WLAN Touch van ANIO, de CARL Kids van CAT, het gps-horloge van MyKi, de smartwatch van hellOO en de Kidswatch van Pingonaut. De horloges beschikken over een simkaart en staan in verbinding met een app op de smartphone van de ouders. Die kunnen zo precies zien waar hun kinderen zich bevinden en kunnen bijvoorbeeld worden gewaarschuwd als het kind een opgegeven gebied verlaat. Het horloge van ANIO laat ouders ook met de omgeving van het kind meeluisteren, hoewel dit inmiddels in Duitsland verboden is. De fabrikant heeft de luisterfunctie dan ook voor het Duitse telefoonnetwerk uitgeschakeld.

Het eerste probleem dat AV-Test aantrof is dat de horloges kwetsbaar zijn voor spoofing. Zo kan er een telefoonnummer worden opgegeven dat van de ouders is, terwijl het bericht van een ander nummer afkomstig is. Hoewel spoofing ook bij andere smartphones mogelijk is, is het in dit geval voldoende reden voor AV-Test om alle zes de gps-horloges af te raden. Het onderzoekslab adviseert ouders dan ook om het telefoonnummer van het horloge geheim te houden, aangezien dit voor het uitvoeren van een spoofingaanval nodig is. Een bijkomend probleem is dat de simkaart in de horloges geen pincode mag hebben. Een aanvaller met fysieke toegang kan zo eenvoudig het nummer achterhalen en vervolgens gebruiken om op afstand controle over het horloge krijgen en te kijken waar het kind zich bevindt, aldus de onderzoekers.

Verder blijkt dat drie apps bij het uitwisselen van data tussen de app, het horloge en het internet geen versleuteling toepassen. Een aanvaller kan zo bijvoorbeeld bepaalde informatie achterhalen, zoals de huidige locatie van het kind of het gebied dat door de ouders als "veilige zone" is ingesteld. Ook registratie- en inloggegevens blijken onversleuteld te worden verstuurd. Verder laat ook de veiligheid van vier van de zes apps te wensen over. Zo worden inloggegevens onbeveiligd in een logbestand op de sd-kaart van de telefoon opgeslagen.

Wat betreft databescherming en privacybeleid schieten de aanbieders ook te kort. Alleen Pingonaut en ANIO garanderen de databescherming van hun klanten op een acceptabele manier, zo stelt AV-Test. Het testlab noemt de resultaten van de test dan ook allesbehalve geruststellend. Alleen het horloge van Pingonaut scoort de maximale drie sterren, terwijl de horloges van CAT en het Nederlandse hellOO helemaal geen punten weten te scoren. Eerder stelde ook de Noorse Consumentenbond Forbrukerradet dat gps-horloges voor kinderen ernstige kwetsbaarheden bevatten.