En mai ceci Cette année-là, la fille d’Alexis Hancock a reçu une tablette pour enfants pour son anniversaire. En tant que chercheur en sécurité, Hancock s’est immédiatement inquiété.
« Je l’ai regardé de côté parce que je n’ai jamais entendu parler de Dragon Touch », a déclaré Hancock à TechCrunch, faisant référence au fabricant de la tablette.
Il s’est avéré que Hancock, qui travaille à l’Electronic Frontier Foundation, avait de bonnes raisons de s’inquiéter. Hancock a déclaré qu’elle avait découvert que la tablette présentait de nombreux problèmes de sécurité et de confidentialité qui auraient pu mettre en danger les données de sa fille et d’autres enfants.
Le Dragon Touch KidzPad Y88X contient des traces d’un logiciel malveillant bien connu, exécute une version d’Android publiée il y a cinq ans, est livré préchargé avec d’autres logiciels considérés comme des logiciels malveillants et un « programme potentiellement indésirable » en raison de « son historique et de son étendue ». autorisations au niveau du système pour télécharger n’importe quelle application de son choix », et comprend une version obsolète d’une boutique d’applications conçue spécifiquement pour les enfants, selon le rapport de Hancock, publié jeudi et vu par TechCrunch avant sa publication.
Hancock a déclaré qu’elle avait contacté Dragon Touch pour signaler ces problèmes, mais la société n’avait jamais répondu. Dragon Touch n’a pas non plus répondu aux questions de TechCrunch.
La première chose inquiétante que Hancock a déclaré avoir trouvée sur la tablette était des traces de la présence de Corejava, qui en janvier, la société de cybersécurité Malwarebytes a analysé et conclu qu’il était malveillant. Cette année également, l’Electronic Frontier Foundation et des chercheurs indépendants en sécurité ont découvert le même type de malware intégré dans le logiciel des téléviseurs Android bon marché. La bonne nouvelle, selon Hancock, est qu’au moins le malware semblait inactif et était programmé pour envoyer des données à des serveurs dormants.
Selon le rapport technique de Hancock, la tablette était également préchargée avec Adups – le même logiciel que l’on trouve dans ces téléviseurs Android – qui est utilisé pour effectuer des mises à jour « du micrologiciel par liaison radio ». Malwarebytes a classé Adups comme malware et « programme potentiellement indésirable » pour sa capacité à télécharger et installer automatiquement de nouveaux malwares à partir d’Internet.
Enfin, la tablette était livrée avec une version préinstallée et obsolète de l’application KIDOZ, qui sert de boutique d’applications permettant aux parents de définir le contrôle parental et aux enfants de télécharger des jeux et des applications. L’App Store « collecte et envoie des données à « kidoz.net » sur l’utilisation et les attributs physiques de l’appareil. Cela inclut des informations telles que le modèle de l’appareil, la marque, le pays, le fuseau horaire, la taille de l’écran, les événements d’affichage, les événements de clic, l’heure de connexion des événements et un KID ID unique », selon le rapport de Hancock.
Le fondateur de KIDOZ, Eldad Ben Tora, a déclaré à TechCrunch que l’application est certifiée conforme à la COPPA, la loi fédérale américaine qui prévoit certaines protections de la vie privée en ligne pour les enfants, et que l’application « a subi un processus d’évaluation rigoureux par un programme COPPA Safe Harbor approuvé par la FTC appelé PRIVO, qui comprenait un examen approfondi de nos pratiques de collecte, de stockage et d’utilisation de données.
« Ce processus garantit que nos services sont pleinement conformes aux exigences de la COPPA, en donnant la priorité à la protection de la vie privée des enfants », a déclaré Ben Tora à TechCrunch.
La tablette Dragon Touch analysée par Hancock était en vente sur Amazon jusqu’à cette semaine, lorsque la liste a été supprimée et a été remplacée par une liste pour la même tablette, qui prétend que la tablette fonctionne sous Android 12, sorti en 2021. Images sur la liste indique cependant que la tablette fonctionne sous Android 10, sorti en 2019.
On ne sait pas exactement à quel point ces tablettes sont populaires, mais les listes Amazon affichent plus de 1 000 avis.
Le porte-parole d’Amazon, Adam Montgomery, a déclaré à TechCrunch dans un e-mail que la société « étudiait ces allégations et prendrait les mesures appropriées si nécessaire ».
La tablette Dragon Touch était également disponible chez Walmart jusqu’à cette semaine. Après que TechCrunch ait contacté l’entreprise, Walmart a supprimé la liste de son site Web.
« Nous avons supprimé cet article tiers de notre site pendant que notre service Confiance et Sécurité procède à un examen », a déclaré le porte-parole de Walmart, John Forrest Ales, dans un e-mail. « Comme d’autres grands détaillants en ligne, nous exploitons une place de marché en ligne qui permet à des vendeurs tiers externes de proposer des marchandises aux clients via notre plateforme de commerce électronique. Nous attendons que ces articles soient sûrs, fiables et conformes à nos normes et à toutes les exigences légales. Les éléments identifiés comme ne répondant pas à ces normes ou exigences seront rapidement supprimés du site Web et resteront bloqués.
Contactez-nous
Avez-vous plus d’informations sur d’autres failles dans les appareils populaires ? Nous aimerions recevoir de vos nouvelles. Vous pouvez contacter Lorenzo Franceschi-Bicchierai en toute sécurité sur Signal au +1 917 257 1382, ou via Telegram, Keybase et Wire @lorenzofb, ou par e-mail. Vous pouvez également contacter TechCrunch via SecureDrop.
Dragon Touch est répertorié sur le site Web officiel d’Android comme un appareil « certifié » qui a été « testé pour sa sécurité et ses performances ».
Le porte-parole de Google, Ed Fernandez, a déclaré par courrier électronique à TechCrunch que la société « évaluait minutieusement les allégations contenues dans ce rapport pour déterminer si l’appareil du fabricant répondait aux normes de sécurité requises pour la certification Play Protect ».
Les produits connectés à Internet pour enfants sont depuis longtemps une cible pour les pirates informatiques. En 2015, un pirate informatique s’est introduit dans les serveurs de VTech, une entreprise d’électronique grand public qui fabriquait des gadgets pour enfants. Le piratage a entraîné le vol des informations personnelles de près de cinq millions de parents, notamment les noms, adresses e-mail, mots de passe et adresses personnelles, ainsi que les données personnelles de plus de 200 000 enfants, notamment les noms, sexes et dates de naissance. Le pirate informatique a également obtenu des milliers de photos de parents et d’enfants ainsi qu’un an de journaux de discussion.
Après avoir terminé ses recherches, Hancock a déclaré qu’elle devait garder la tablette parce que sa fille s’y était attachée lors d’un voyage avec ses cousins. Mais Hancock n’a rendu la tablette à sa fille qu’après avoir apporté des modifications pour protéger la vie privée de sa fille.
«Je lui ai expliqué pourquoi j’avais sa tablette et pourquoi je l’avais gardée si longtemps loin d’elle. Je lui ai dit qu’il était malade, qu’il y avait un virus, que je devais l’améliorer et que je devais l’emmener chez le médecin », a déclaré Hancock.
En pratique, Hancock a déclaré qu’elle avait « détruit tout ce qu’elle pouvait ».
Premièrement, Hancock a déclaré avoir installé un profil VPN sur la tablette sur un serveur privé qui exécute Pi-hole, un logiciel de blocage des publicités ; ensuite, elle a limité le nombre d’applications que sa fille pouvait utiliser ; redirigé le DNS – le système Internet qui connecte les adresses IP aux noms de domaine, pour « tous les domaines problématiques » ; et a même installé Tor, un navigateur conçu pour protéger l’anonymat de son utilisateur.
Hancock, cependant, a déclaré que les parents ne devraient pas avoir à faire tout cela pour protéger la vie privée de leurs enfants, en particulier parce que tout le monde n’a pas les compétences techniques, ni le temps, pour rechercher les problèmes de cybersécurité et de confidentialité de la tablette de leurs enfants.
« Les parents ne peuvent vraiment pas en faire trop », dit-elle. « Et honnêtement, cela ne devrait pas leur être laissé. »