Smartwatches for children are on the rise. As internet-connected surveillance and communication devices attached to children, their security is important. However, previous work on their security suffers from inadequate documentation, and their network service and firmware attack surfaces are unstudied and only little studied, respectively. In this thesis, welldocumented grey-box ethical hacking is conducted of the network service and firmware attack surfaces of the children’s smartwatch myFirst Fone R1s. The methodology is based on PatrIoT and consists of five stages: planning, threat modelling, exploitation, reporting, and evaluation. As a result, one network service vulnerability and 16 firmware vulnerabilities are discovered, including preinstalled malware. An attacker can obtain persistence as root on the watch through a highly practical attack using any of five entry points, three being remotely exploitable, and one being the network service vulnerability. In particular, an attacker can scan the internet to enumerate watches, and then easily and covertly seize control of them. It is concluded that the security of the watch’s network service and firmware attack surfaces is remarkably poor and definitely inadequate. This thesis improves the understanding of the security of children’s smartwatches, highlights the importance of comprehensive attack surface coverage, and warrants future work on children’s smartwatches and the preinstalled malware. Coordinated vulnerability disclosure (CVD) has largely failed.

Smartklockor för barn är på uppgång. Som internetanslutna övervakningsoch kommunikationsenheter fästa på barn, så är deras säkerhet viktig. Dock lider tidigare arbete om deras säkerhet av otillräcklig dokumentation, och deras nätverkstjänstattackyta och programvaruattackyta är ostuderad respektive endast lite studerad. I detta examensarbete utförs väldokumenterad gråbox-etisk hackning av nätverkstjänst- och programvaruattackytorna av barnsmartklockan myFirst Fone R1s. Metodiken baseras på PatrIoT och består av fem steg: planering, hotmodellering, exploatering, rapportering och utvärdering. Som resultat upptäcks en nätverkstjänstsårbarhet och 16 programvarusårbarheter, däribland förinstallerad skadlig kod. En angripare kan erhålla beständig total kontroll av klockan genom en mycket praktisk attack som utnyttjar någon av fem ingångar, varav tre kan utnyttjas över internet, och en är nätverkstjänstsårbarheten. I synnerhet kan en angripare skanna internet för att identifiera klockor, och sedan enkelt samt i hemlighet ta kontroll av dem. Slutsatsen dras att säkerheten av klockans nätverkstjänst- och programvaruattackytor är anmärkningsvärt dålig och definitivt otillräcklig. Detta examensarbete förbättrar förståelsen av barnsmartklockors säkerhet, belyser vikten av omfattande attackytatäckning, och motiverar framtida arbete om barnsmartklockor samt den förinstallerade skadliga koden. Samordnad sårbarhetsredovisning (CVD) har till stor del misslyckats.