De smartwatches werken met een op sms gebaseerde interface en zouden zo opgezet moeten worden dat alleen door beheerders toegestane telefoonnummers kunnen worden gebruikt om de configuratie te wijzigen, deze functie werkt echter niet naar behoren waardoor iedereen de instellingen van de horloges aan kan passen en deze kan koppelen aan een ander toestel. Aanvallers zouden zo volledige toegang kunnen krijgen tot de horloges en zelfs gebruik kunnen maken van de tracking-mogelijkheden en dus andermans kind in de gaten houden.

Hard coded wachtwoord

Alsof dat nog niet genoeg was, ontdekte Rapid7 ook nog een dat de horloges een standaardwachtwoord hebben: 123456. Dit wachtwoord kan niet worden veranderd en bij sommige horloges wordt niet eens vermeld dat dit wachtwoord aanwezig is.

“Helaas lijkt er geen mechanisme te bestaan om sms-filtering-probleem aan te pakken zonder een door de leverancier geleverde firmware-update. Het is onwaarschijnlijk dat een dergelijke update zal worden uitgebracht, aangezien de aanbieder van deze apparaten moeilijk tot onmogelijk te vinden is.

Met dit in het achterhoofd worden de huidige gebruikers van deze apparaten die het apparaat willen blijven gebruiken, aangespoord om te onderzoeken hoe het SMS-wachtwoord kan worden bijgewerkt. Helaas kan dit proces per apparaat verschillen en kan de documentatie moeilijk te vinden zijn,” aldus Tod Beardsley van Rapid7

Aangezien het zeer moeilijk tot onmogelijk is de fabrikanten van deze horloges te achterhalen wordt gebruikers aangeraden de smartwatches te dumpen. Het gaat om de  Children's SmartWatchG36 Children's Smartwatch, en SmarTurtles Kid's Smartwatch, die alle drie worden verkocht op Amazon.