Publicerad 28 jan 2026 kl 09.22

Den populära smarta klockan för barn kan tas över och manipuleras på distans. Tillverkaren tycks ha lagt locket på. 

– Det går att ta full kontroll över den, säger etiska hackaren Gustaf Blomqvist.

Myfirst Fone R1c beskrivs som ”en lekplats för hackare”.

Foto: Myfirst / Myfirst

Öppna bild i helskärm

Det handlar om tillverkaren MyFirst Fones klocka R1s, som kan tas över helt och manipuleras på distans av obehöriga. Bakom upptäckten står den tidigare KTH-studenten och etiska hackaren Gustaf Blomqvist, som inte fått någon respons från tillverkaren efter att ha påpekat säkerhetsbristerna. 

– Klockan är en lekplats för hackare, säger han. 

Klockans allvarligaste brist är kopplad till en osäker nätverkstjänst som är exponerad mot internet. 

– Det går att skanna nätet och identifiera de här enheterna. Och då går det att ta full kontroll över dem. Det går att titta genom kameran, avlyssna mikrofonen och läsa textmeddelanden. Det går även att manipulera textmeddelanden, berättar Gustaf Blomqvist. 

Gustaf Blomqvist upptäckte 17 sårbarheter i klockan för barn när han gjorde sitt examensarbete.

Foto: Mats Karlsson

Öppna bild i helskärmSäljs med säkerhet som argument

Den här typen av produkter för barn säljs med själva säkerheten som ett huvudargument. Tanken är att föräldrarna ska känna sig trygga och lugna då de lättare kan hålla kontakt med sina barn. Men den här klockan riskerar förstås att ha motsatt effekt. Gustaf Blomqvist har hittat hela 17 sårbarheter i klockan. 

– När jag först skrev till företaget var de snabba med att berätta vart jag skulle skicka informationen om sårbarheterna. Men sedan blev det helt tyst, Jag försökte återupprätta kontakten i en månads tid utan framgång, berättar han.

Pontus Johnson som är professor i cybersäkerhet vid KTH säger att vissa företag som tillverkar den här typen av produkter inte har de resurser som krävs för att åtgärda sårbarheter. 

– Så man bara ignorerar dem och hoppas att problemet ska försvinna. Samtidigt som stora företag som till exempel Apple eller Google gör tvärtom och belönar den här typen av fynd.

Skadlig kod i klockan

En annan upptäckt som Gustaf Blomqvist gjort är att det finns skadlig kod installerad på klockan. Klockan ansluter med jämna mellanrum till en server som får mängder av information om allt innehåll på enheten. Och uppdateringsfunktionen till den koden är dessutom sårbar. 

– Så det går att installera annan skadlig kod förhållandevis enkelt, konstaterar Gustaf Blomqvist. 

Det är förstås omöjligt att svara på var i leverantörskedjan som den här skadliga koden har injicerats och av vem. Men det är ändå anmärkningsvärt att produkter för barn som innehåller skadlig kod säljs på den europeiska marknaden. 

– Det är ju något fel i systemet när det är möjligt att sälja sådana här produkter. Du får ju inte sälja en brödrost som kan börja brinna, men när det gäller cybersäkerhet har man inte kommit till samma nivå som när det gäller elektricitet, säger Pontus Johnson. 

En EU-förordning med obligatoriska cybersäkerhetskrav för produkter kallad Cyber Resilience Act finns på plats, men en full tillämpning med obligatoriska krav träder i kraft först 2027. 

Expressen har sökt företaget Myfirst.