Un petit budget ne devrait pas signifier un risque élevé : la tablette pour enfants était préchargée avec Sketchyware

Il est facile d'obtenir des appareils Android auprès de fournisseurs en ligne comme Amazon à différents niveaux de prix. Malheureusement, il est également facile de se retrouver avec un appareil Android contenant des logiciels malveillants avec ces budgets inférieurs. Plusieurs facteurs contribuent à cela : plusieurs appareils fabriqués dans la même usine, le manque de normes de sécurité lors du choix des composants, et le manque d'assurance qualité et de contrôle de la part des fournisseurs qui vendent ces appareils. Nous avons enquêté sur une tablette contenant des logiciels malveillants potentiels, achetée auprès du fournisseur en ligne Amazon ; une tablette pour enfants Dragon Touch KidzPad Y88X 10 . Depuis cet article, la tablette en question n'est plus répertoriée sur Amazon, même si elle était disponible pendant la majeure partie de cette année.

Il s’avère qu’un logiciel malveillant était présent, avec en prime des logiciels à risque préinstallés et une application de contrôle parental très obsolète. C'est une préoccupation majeure puisqu'il s'agit d'une tablette commercialisée pour les enfants .

Les parents s’inquiètent beaucoup de la manière dont leurs enfants utilisent la technologie telle qu’elle est. Des conversations et des négociations continues sur le temps passé sur les appareils ont lieu dans de nombreux foyers. Les logiciels malveillants ou à risque potentiels ne devraient pas faire partie de ces préoccupations simplement parce que vous avez acheté une tablette Android économique pour votre enfant. Il se trouve que certains parents de l'EFF mènent des recherches sur la sécurité. Mais ce n’est pas ce qu’il faut faire pour assurer la sécurité de votre enfant.

"Stocker Android"

Pour mieux comprendre ce problème, il est utile de savoir ce que signifie « Android d'origine » et comment les fabricants abordent le choix d'un système d'exploitation. Le système d'exploitation Android est open source par Google et officiellement connu sous le nom de « Android Open Source Project » ou AOSP. Le code source est simplifié et n'inclut même pas les applications Google ou le Google Play Store. La plupart des téléphones ou tablettes que vous achetez avec Android sont des AOSP avec des couches de personnalisation ; ou une version « skinnée » d’AOSP. Même le téléphone phare actuel de Google, Pixel, n'est pas livré avec Android d'origine.

Même si les distributions Android personnalisées ou les ROM (Android R ead Only Memory ) peuvent être dotées de fonctionnalités utiles , d'autres peuvent être accompagnées de « bloatware » ou d'applications indésirables. Par exemple, en 2019, lorsque Samsung a préinstallé l’application Facebook sur ses téléphones, la seule option était de « désactiver » l’application. Pire encore, dans certains cas, les ROM personnalisées peuvent être accompagnées de logiciels malveillants préinstallés. Les OEM Android (fabricants d'équipement d'origine) peuvent préinstaller des applications dotées de privilèges de haut niveau et qui peuvent ne pas être aussi évidentes qu'une icône que vous pouvez voir sur votre écran d'accueil. Mais il ne s’agit pas uniquement d’applications. Les nouvelles fonctionnalités fournies avec AOSP peuvent être sérieusement retardées par les OEM personnalisés si le fabricant de l'appareil ne fait pas preuve de diligence dans leur portage. Cela peut être dû à des raisons telles que des limitations matérielles ou une non-priorité des mises à jour.

Temps d'écran pour Sketchyware

Semblable à un téléviseur Android que nous avons examiné plus tôt cette année, nous avons trouvé les désormais célèbres répertoires de logiciels malveillants Corejava sur la tablette Dragon Touch. Contrairement au boîtier Android TV que nous avons vu, cette tablette n’est pas rootée. Cependant, nous avons pu constater que les répertoires « /data/system/Corejava » et « /data/system/Corejava/node » étaient présents sur l'appareil. Cela indique que Corejava était actif sur le firmware de cette tablette.

Au départ, nous ne soupçonnions pas la présence de ce malware jusqu'à ce que nous voyions des liens vers d'autres fabricants et des requêtes étranges provenant de la tablette nous incitant à y jeter un œil. Nous avons démarré cette tablette Dragon Touch pour la première fois en mai 2023, après la mise hors service des serveurs de commande et de contrôle (C2) dont dépend Corejava . Ainsi, toute tentative de téléchargement de charges utiles malveillantes, si elle est active, ne fonctionnerait pas (pour l'instant). Avec l'absence de « bruit » provenant de l'appareil, nous soupçonnons que cet indicateur de malware est au minimum un vestige de « devoirs copiés » issus d'une production hâtive ; ou au pire, laissé pour une éventuelle activité future.

La tablette était également préchargée avec Adups (qui se trouvaient également sur les boîtiers Android TV) sous la forme d'un logiciel de mise à jour « firmware over the air » (FOTA) fourni sous la forme d'une application appelée « Wireless Update ».

Adups a toujours été un malware, mais il existe des « versions propres ». L'une de ces versions « propres » se trouvait sur cette tablette. Grâce à son historique et à ses autorisations étendues au niveau du système pour télécharger n’importe quelle application depuis les serveurs Adups, cela pose toujours un problème. Adups est préinstallé avec cet OEM Dragon Touch. Si vous réinitialisez cet appareil en usine, l'application reviendra. Il n'y a aucun moyen de désinstaller ou de désactiver cette variante d'Adups sans connaissances techniques et sans être à l'aise avec la ligne de commande. Utiliser un logiciel OTA avec un historique aussi chargé est une décision très discutable pour une tablette pour enfants.

Joindre les points

Le lien entre le Dragon Touch infecté et le boîtier Android TV sur lequel nous avons enquêté précédemment était plus étroit que nous ne le pensions initialement. Après avoir consulté un avis client concernant un boîtier Android TV pour une société située à la même adresse aux États-Unis que Dragon Touch, nous avons découvert que Dragon Touch est la propriété et la marque d' une société qui possède et distribue également d'autres produits sous différentes marques.

Ce groupe qui a enregistré plusieurs marques et partagé une adresse avec Dragon Touch a vendu la même tablette que celle que nous avons examinée sur d'autres marchés en ligne, comme Walmart . Cette même entité aurait apparemment vendu le modèle T95Z de boîtiers Android TV sous la marque « Tablet Express », ainsi que des appareils comme la tablette Dragon Touch . Le T95Z faisait partie de la famille des boîtiers TV étudiés après que les chercheurs ont commencé à examiner de plus près ces types d'appareils.

Avec l'utilisation généralisée de ces appareils, on peut affirmer sans se tromper que tous les appareils Android connectés à ces vendeurs devraient être examinés de près.

Problèmes de confidentialité

La tablette Dragon Touch était également livrée avec une version très obsolète de l'application KIDOZ préinstallée. Cette application se vante d'être « certifiée COPPA » et « transforme les téléphones et les tablettes en appareils adaptés aux enfants pour jouer et apprendre avec les meilleures applications, vidéos et contenus en ligne pour enfants ». Cette version fonctionne comme un mini système d'exploitation où vous pouvez télécharger des jeux, des applications et configurer le contrôle parental dans l'application.

Nous avons remarqué que le référent de cette application était « ANDROID_V4_ TABLET_EXPRESS _PRO_GO ». « Tablet Express » n'est plus une société opérationnelle, il semble donc que Dragon Touch ait réutilisé une ancienne version de l'application KIDOZ. KIDOZ distribue son application uniquement aux fabricants d'appareils pour la précharger sur les appareils destinés aux enfants, elle n'est pas disponible sur le Google Play Store.

Cette version de l'application collecte et envoie toujours des données à « kidoz.net » sur l'utilisation et les attributs physiques de l'appareil. Cela inclut des informations telles que le modèle de l'appareil, la marque, le pays, le fuseau horaire, la taille de l'écran, l'affichage des événements, les événements de clic, l'heure de connexion des événements et un « KID ID » unique. Dans un email, KIDOZ nous a indiqué que les « appels restent inutilisés même s'ils sont certifiés à 100 % (COPPA) » en référence aux informations envoyées à leurs serveurs depuis l'application. L’ancienne version dispose toujours d’une boutique d’applications très obsolètes. Par exemple, nous avons trouvé une application de dessin, "Kids Paint FREE", qui tente d'envoyer des coordonnées GPS exactes à un serveur publicitaire. Le serveur publicitaire que cette application appelle n'existe plus, mais certaines de ces applications de la boutique KIDOZ sont toujours opérationnelles malgré un code obsolète. Cette fuite d'informations spécifiques à l'appareil via des requêtes Web principalement HTTP (non sécurisées) peut être ciblée par des acteurs malveillants qui souhaitent siphonner des informations soit sur l'appareil, soit en obtenant ces domaines défunts.

Plusieurs fournisseurs de sécurité ont qualifié la version de l'application KIDOZ que nous avons examinée de logiciel publicitaire. La version actuelle de KIDOZ pose moins de problèmes depuis que la boutique d'applications interne a été supprimée, elle n'est donc plus étiquetée comme logiciel publicitaire. Heureusement, vous pouvez désinstaller cette version de KIDOZ . KIDOZ propose la dernière version de son application aux fabricants OEM, la responsabilité incombe donc en fin de compte à Dragon Touch. Lorsque nous avons contacté KIDOZ, ils nous ont dit qu'ils feraient un suivi auprès de divers OEM pour proposer la dernière version de l'application.

Les logiciels malveillants et les logiciels à risque se présentent sous de nombreuses formes différentes. Le fardeau de la réparation des logiciels malveillants et des sketchywares préinstallés qui incombe aux consommateurs est absolument inacceptable . Nous aimerions voir quelques améliorations fondamentales dans la façon dont ces appareils commercialisés pour les enfants sont vendus et fabriqués :

• Il devrait y avoir de meilleurs critères de sécurité pour les appareils vendus sur les grands marchés en ligne. Surtout les appareils emballés pour paraître sans danger pour les enfants.
• Si les chercheurs en sécurité détectent des logiciels malveillants sur un appareil, il devrait exister un moyen plus efficace de retirer ces appareils du marché et d’alerter les clients.
• Il devrait y avoir une norme minimale définie sur les OEM Android vendus pour offrir une exigence minimale de fonctionnalités de sécurité et de confidentialité disponibles auprès de l'AOSP. Par exemple, cette tablette pour enfants Dragon Touch fonctionne sous Android 9, qui a maintenant cinq ans. Android 14 est actuellement le dernier système d’exploitation stable au moment de la rédaction de ce rapport.

Les appareils dotés de logiciels avec un historique malveillant et d'applications obsolètes qui divulguent des données sur les enfants créent un plus grand nombre de problèmes de confidentialité et de sécurité qui devraient être surveillés de plus près qu'ils ne le sont actuellement. Il a fallu plus de 25 heures pour évaluer tous les problèmes liés à cette tablette. Puisqu’il s’agissait d’un OEM Android personnalisé, la seule source de documentation possible provenait de l’entreprise, et il n’y avait pas grand-chose. Nous avons dû plutôt examiner le fil d'Ariane qu'ils laissent sur l'image, comme les applications personnalisées au niveau du système, les bizarreries spécifiques au processeur de puce et les applications préinstallées. Dans ce cas, suivre le fil d'Ariane nous a permis d'établir les liens nécessaires avec la façon dont cet appareil a été fabriqué et les circonstances qui ont conduit à l'apparition du sketchyware dessus. La plupart des parents ne sont pas des chercheurs en sécurité et n'ont pas le temps, la volonté ou l'énergie de réfléchir à ce type de problèmes, et encore moins de les résoudre. Les vendeurs en ligne comme Amazon et Walmart devraient commencer à détecter ces problèmes de manière proactive et investir dans des contrôles de meilleure qualité et à la source des nombreux appareils électroniques grand public présents sur leurs marchés.

Liste des applications, journaux et outils étudiés :

APK (applications) :

• Ancien apk KIDOZ a4519ca721f4ad5aeb9b4eac248f1090fe01606e64a6348f8067863893a720b9
• Dernière version KIDOZ apk 2c5bc2694123282df4d245d989372dd2a04cbcd5e146ec73234ca9c5ce02eacf
• Adups.apk           9f4bcd33b529eb02ccd5741b04aba7af54c08fe761645e064027980d5bc733b

Journaux :

• Échantillon de journaux Pihole
• Requête POST d'analyse en texte clair KIDOZ

Outils:

• Android Debug Bridge (adb) et Android Studio pour le shell et l'émulation.
• Logcat pour l'activité de l'application sur l'appareil.
• MOBSF pour les analyses APK initiales.
• JADX GUI pour l’analyse statique des APK.
• PiHole pour les requêtes DNS des appareils.
• VirusTotal pour représenter graphiquement les connexions aux domaines et APK suspects.