{"id":123843,"date":"2025-12-29T13:37:07","date_gmt":"2025-12-29T13:37:07","guid":{"rendered":"https:\/\/www.europesays.com\/no\/123843\/"},"modified":"2025-12-29T13:37:07","modified_gmt":"2025-12-29T13:37:07","slug":"fant-alvorlig-sarbarhet-i-populaer-smartklokke-for-barn-nrk-norge-oversikt-over-nyheter-fra-ulike-deler-av-landet","status":"publish","type":"post","link":"https:\/\/www.europesays.com\/no\/123843\/","title":{"rendered":"Fant alvorlig s\u00e5rbarhet i popul\u00e6r smartklokke for barn \u2013 NRK Norge \u2013 Oversikt over nyheter fra ulike deler av landet"},"content":{"rendered":"

Ei smartklokke for born fr\u00e5 det norske selskapet Xplora har ei alvorleg s\u00e5rbarheit, har tyske forskarar oppdaga.<\/p>\n

S\u00e5rbarheita inneber mellom anna at framande kan lesa meldingar, sj\u00e5 bilete og h\u00f8yra talemeldingar mellom born og foreldra deira.<\/strong><\/p>\n

Tyske forskarar ved TU Darmstadt har funne ut at alle klokkene av typen Xplora X6Play generasjon 1 nyttar n\u00f8yaktig same tryggleiksn\u00f8kkel.<\/p>\n

\"En<\/p>\n

Tyske forskarar oppdaga ei s\u00e5rbarheit i denne smartklokka, den fyrste versjonen av X6Play.<\/p>\n

Faksimile: Xplora<\/p>\n

Viss ein uvedkomande person f\u00e5r tilgang til den n\u00f8kkelen, kan dei f\u00e5 tilgang til klokka og f\u00e5 ho til \u00e5 gjera kva dei vil, seier forskar og doktorgradskandidat Nils Rollshausen til NRK.<\/strong><\/p>\n

If\u00f8lge forskaren m\u00e5 ein framand \u00f2g ha tilgang p\u00e5 identitetsnummeret p\u00e5 klokka, det s\u00e5kalla IMEI-nummeret, men seier at det er lett \u00e5 f\u00e5 tak i fr\u00e5 desse klokkene.<\/p>\n

Kva inneber s\u00e5rbarheita?<\/p>\n

S\u00e5rbarheita har \u00e5 gjera med s\u00e5kalla API-n\u00f8klar.<\/p>\n

API-n\u00f8klar kjem gjerne i par. Den eine n\u00f8kkelen fortel kven du er og den andre n\u00f8kkelen beviser at du er den du seier.<\/p>\n

Viss uvedkomande kan gjetta seg til kva desse API-n\u00f8klane er, kan dei gje seg ut for \u00e5 vera nokon andre enn dei er.<\/p>\n

Difor er det om \u00e5 gjera at det er vanskeleg \u2013 om ikkje umogleg \u2013 \u00e5 gjetta seg fram til desse n\u00f8klane.<\/p>\n

I dette tilfellet har selskapet nytta ein statisk API-n\u00f8kkel som er lik for alle smartklokker av same modell. Det betyr at han ikkje vert endra jamleg, som er tilfellet med dynamiske n\u00f8klar.<\/p>\n

\u2013 Me har ingen indikasjonar p\u00e5 at funksjonen har vore misbrukt, eller at brukardata har vore tilgjengeleg for uvedkomande eller har kome p\u00e5 avvegar.<\/strong><\/p>\n

Det skriv teknisk sjef Sanghyo Kim i Xplora i ein e-post til NRK.<\/p>\n

Sj\u00e5 kva selskapet svarar p\u00e5 kritikken lenger ned i saka.<\/p>\n

Kan senda falsk informasjon<\/p>\n

X6Play-klokka vert marknadsf\u00f8rt som ei smartklokke for born. Selskapet skriv mellom anna at foreldre kan sj\u00e5 i sanntid kor barnet deira er.<\/p>\n

Men if\u00f8lge Rollshausen kan s\u00e5rbarheita i klokkene gjera at den informasjonen ikkje er spesielt p\u00e5liteleg.<\/strong><\/p>\n

\u2013 I v\u00e5re eksperiment klarte me \u00f2g \u00e5 senda falske oppdateringar om plassering til foreldra og virtuelt \u00abteleportera\u00bb barnet deira til tilfeldige stader, skriv han.<\/p>\n

I tillegg kan uvedkomande senda meldingar til foreldra som ser ut som om dei kjem fr\u00e5 klokka til barnet.<\/strong><\/p>\n

Dette er ikkje fyrste gong det har vorte avdekka tryggleiksfeil i klokker fr\u00e5 Xplora.<\/p>\n

Digi.no<\/a> har tidlegare skrive om ei s\u00e5rbarheit som gjorde at kven som helst kunne kontakta barnet via klokka.<\/p>\n

Melde fr\u00e5 om feilen i mai<\/p>\n

Dei tyske forskarane kontakta Xplora i mai og fortalde om funna dei hadde gjort.<\/p>\n

D\u00e5 gjorde selskapet fleire tiltak for at det skulle vera vanskelegare for uvedkomande \u00e5 f\u00e5 tak i tryggleiksn\u00f8kkelen, opplyser dei.<\/p>\n

Men if\u00f8lge Rollshausen er feilen der framleis \u2013 og kan verta utnytta.<\/p>\n

Det er det ikkje nokon reell fare for etter at ekstra tiltak vart sette inn, if\u00f8lge Xplora.<\/strong><\/p>\n

\"Hender<\/p>\n

Smartklokker for born har vorte sv\u00e6rt popul\u00e6re i Noreg dei siste \u00e5ra. Her fr\u00e5 ein skulegard i 2022.<\/p>\n

Foto: Xin Li \/ NRK<\/p>\n

Sanghyo Kim i Xplora forsvarar \u00f2g tryggleiksl\u00f8ysingane dei har valt.<\/p>\n

\u2013 Bruk av statiske API-n\u00f8klar er vanleg praksis i bransjen og vert nytta av dei fleste store teknologiselskap, skriv han i ein e-post til NRK.<\/p>\n

Han peikar \u00f2g p\u00e5 at selskapet har fleire andre m\u00e5tar \u00e5 sikra produkta sine p\u00e5.<\/p>\n

If\u00f8lge Kim skal Xplora gjennomf\u00f8ra ei planlagd oppdatering av tryggleikssystema sine i januar. D\u00e5 skal dei \u00f2g g\u00e5 over til \u00e5 bruka s\u00e5kalla dynamiske API-n\u00f8klar for alle produkta sine.<\/p>\n

\u2013 Grunnleggande tryggleiksfeil<\/p>\n

IT-tryggleiksekspert Hans-Petter Fjeld meiner det Xplora har gjort, er uakseptabelt.<\/p>\n

\u2013 Dette er grunnleggande tryggleiksfeil som me har hatt gode og kjende l\u00f8ysingar for i \u00e5revis, seier han til NRK.<\/strong><\/p>\n

Han trur ikkje det handlar om manglande fagleg kompetanse hj\u00e5 selskapet, men heller om prioriteringar og ansvarskjensle.<\/strong><\/p>\n

Han meiner s\u00e5rbarheita i desse klokkene er ekstra ille fordi dei vert nytta av born.<\/p>\n

\u2013 N\u00e5r produkt er retta mot born, er dette heilt uakseptabelt. I verste fall kan misbruk f\u00e5 sv\u00e6rt alvorlege konsekvensar.<\/p>\n

Sanghyo Kim i Xplora er ikkje einig i at dei har gjort \u00abgrunnleggande tryggleiksfeil\u00bb.<\/strong><\/p>\n

\u2013 Sj\u00f8lv om me respekterer at ein har ulike syn p\u00e5 kva som er god nok tryggleik, er me ueinige i denne skildringa. Det er eit faktum at statiske API-n\u00f8klar er utbreidde i bransjen, og med v\u00e5re ekstra tryggleikslag er dette ei trygg l\u00f8ysing, skriv han.<\/p>\n

Publisert<\/p>\n

29.12.2025, kl. 14.00<\/p>\n","protected":false},"excerpt":{"rendered":"Ei smartklokke for born fr\u00e5 det norske selskapet Xplora har ei alvorleg s\u00e5rbarheit, har tyske forskarar oppdaga. S\u00e5rbarheita…\n","protected":false},"author":2,"featured_media":123844,"comment_status":"","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[10],"tags":[20,21,24,25,15,22,23,13,30,28,29,14,16,26,27],"class_list":{"0":"post-123843","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-norge","8":"tag-breaking-news","9":"tag-breakingnews","10":"tag-featured-news","11":"tag-featurednews","12":"tag-headlines","13":"tag-latest-news","14":"tag-latestnews","15":"tag-news","16":"tag-no","17":"tag-norge","18":"tag-norway","19":"tag-nyheter","20":"tag-overskrifter","21":"tag-top-stories","22":"tag-topstories"},"share_on_mastodon":{"url":"https:\/\/pubeurope.com\/@no\/115803130677946685","error":""},"_links":{"self":[{"href":"https:\/\/www.europesays.com\/no\/wp-json\/wp\/v2\/posts\/123843","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.europesays.com\/no\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.europesays.com\/no\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/no\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/no\/wp-json\/wp\/v2\/comments?post=123843"}],"version-history":[{"count":0,"href":"https:\/\/www.europesays.com\/no\/wp-json\/wp\/v2\/posts\/123843\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/no\/wp-json\/wp\/v2\/media\/123844"}],"wp:attachment":[{"href":"https:\/\/www.europesays.com\/no\/wp-json\/wp\/v2\/media?parent=123843"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.europesays.com\/no\/wp-json\/wp\/v2\/categories?post=123843"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.europesays.com\/no\/wp-json\/wp\/v2\/tags?post=123843"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}