Ett barns GPS-spårande smartklocka som säljs i Storbritannien och dess medföljande smartphone-app har helt enkelt kuslig säkerhet som skulle låta någon - inklusive ett sexuellt rovdjur - spåra, få information om och kommunicera med barn.

Det är resultatet av en ny rapport från Pennprovspartners, ett brittiskt konsultföretag för informationssäkerhet, som tittade på MiSafes Kid's Watcher-klockan och dess iOS-app efter att en vän köpte en £ 9 till sin unga son.

"Det var dåligt... riktigt dåligt, "skrev Pen Test Partners Alan Monie i ett blogginlägg i går (nov. 15).

MiSafes-spårningsklockan säljs inte i USA, men det är sannolikt andra modeller som har samma programvara.

"Vi tror att mer än en miljon smarta barns spårningsklockor med liknande sårbarheter används, möjligen över 3 miljoner globalt", skrev Monie. "Dessa säljs under många varumärken, men alla verkar använda anmärkningsvärt liknande API: er [applikationsprogramgränssnitt], vilket tyder på en gemensam originaltillverkare eller ODM."

MER: Bästa GPS-trackers för barn

Liksom många barns spårningsklockor använder MiSafes Kid's Watcher en mobilanslutning för att kommunicera med föräldrarnas telefon. Klockan använder också anslutningen för att skicka data till en molnserver som behandlar barnets personliga information och nuvarande plats (som bestäms av GPS-chipet i klockan).

Föräldern kan komma åt informationen i molnservern från en dedikerad smartphone-app eller via en webbläsare. Problemet är att ingen av de data som överförs mellan klockan, molnet och moderns smartphone eller dator är krypterad.

Med hjälp av ett gratis säkerhetstestverktyg och ett par ytterligare MiSafes Kid's Watchers som han köpte själv, utnyttjade Monie informationen som skickas av iOS-appen på sin egen telefon.

Han fann att genom att bara ändra användar-ID kunde han ha tillgång till massor av data om andras barn: namn, foton, datum för födelse, vikt, längd, föräldrarnas telefonnummer, klockans telefonnummer och kanske viktigast, nuvarande och tidigare platser.

"Det är förmodligen det enklaste hacket vi någonsin har sett," Sa Monie till BBC i går. "Jag önskar att det var mer komplicerat. Det är det inte. "

Monie kunde också göra vad barnens egna föräldrar kunde göra, inklusive att ringa eller skicka sms till barnens klockor, eller tyst ringa klockan för att i hemlighet lyssna på vad som händer runt ett barn.

"Om klockan lämnades någon annanstans i ett hushåll, blir den en fjärrlyssningsenhet för alla på internet", skrev Monie.

Det fanns ett par ganska meningslösa skydd på plats. Klockbarnen skulle acceptera samtal från eller ringa till endast godkända nummer, men det var lätt att få runt det genom att spoofa nummerpresentation. Och föräldrarnas telefonnummer skulle vara lätt att få från det öppna molnet databas.

En av Monies kollegor tittade på MiSafes föräldra-app-applikationsprogramgränssnitt (API: er), som avgör hur appen interagerar med andra applikationer och med molnservrar.

Kollegan tänkte att mellan 1 miljon och 3 miljoner GPS-baserade barnspårare med samma problem, som säljs under olika varumärken, användes runt om i världen.

Medan MiSafes Kid's Watcher inte säljs på den amerikanska versionen av Amazon, säljs flera mycket liknande klockor med nästan identiska funktioner där för mellan $ 35 och $ 45.

Både Pen Test Partners och BBC kontaktade MiSafes för kommentar, men fick inget svar. MiSafes.com-webbplatsen är registrerad för en person i Shenzhen, teknikindustrins nav i södra Kina.

När det gäller fadern och barnet som hade köpt den ursprungliga MiSafes Kid's Watcher som utlöste forskningen, gjorde Pen Test Partners rätt av dem.

"Vi kände oss dåliga att vi hade tagit bort hans sons klocka, så vi ersatte den med en som hade fått lite mer tid på säkerhet", skrev Monie. "Vi hoppas att du gillar din nya Apple-klocka!"

Bildkrediter: MiSafes.

  • Bästa föräldrakontrollappar
  • 10 billiga fitnessspårare, rankade från bästa till sämsta
  • Ska du köpa ditt barn ett eko eller ett Google-hem?

Få omedelbar tillgång till nyheter, de hetaste recensionerna, bra erbjudanden och hjälpsamma tips.

Tack för att du registrerade dig i Toms guide. Du kommer att få ett verifieringsmeddelande inom kort.

Det var ett problem. Uppdatera sidan och försök igen.

Ingen skräppost, vi lovar. Du kan när som helst avsluta prenumerationen så kommer vi aldrig att dela dina uppgifter utan ditt tillstånd.