Em maio isso ano, a filha de Alexis Hancock ganhou um tablet infantil de aniversário. Sendo um pesquisador de segurança, Hancock ficou imediatamente preocupado.
“Eu olhei de lado porque nunca ouvi falar do Dragon Touch”, disse Hancock ao TechCrunch, referindo-se ao fabricante do tablet.
No final das contas, Hancock, que trabalha na Electronic Frontier Foundation, tinha bons motivos para se preocupar. Hancock disse que descobriu que o tablet tinha uma série de problemas de segurança e privacidade que poderiam colocar em risco os dados de sua filha e de outras crianças.
O Dragon Touch KidzPad Y88X contém vestígios de um malware bem conhecido, executa uma versão do Android lançada há cinco anos, vem pré-carregado com outro software que é considerado malware e um “programa potencialmente indesejado” por causa de “seu histórico e extensa permissões no nível do sistema para baixar qualquer aplicativo que desejar”, e inclui uma versão desatualizada de uma loja de aplicativos projetada especificamente para crianças, de acordo com o relatório de Hancockque foi lançado na quinta-feira e visto pelo TechCrunch antes de sua publicação.
Hancock disse que entrou em contato com a Dragon Touch para relatar esses problemas, mas a empresa nunca respondeu. Dragon Touch também não respondeu às perguntas do TechCrunch.
A primeira coisa preocupante que Hancock disse ter encontrado no tablet foram vestígios da presença do Corejava, que em janeiro a empresa de segurança cibernética Malwarebytes analisado e concluído era malicioso. Também neste ano, a Electronic Frontier Foundation e pesquisadores de segurança independentes descobriram o mesmo tipo de malware incorporado no software de TVs baratas com Android. A boa notícia, disse Hancock, é que pelo menos o malware parecia inativo e foi programado para enviar dados para servidores inativos.
De acordo com o relatório técnico de Hancocko tablet também veio pré-carregado com Adups – o mesmo software encontrado nas Android TVs – que é usado para fazer atualizações de “firmware over the air”. Malwarebytes classificou Adups como malware e um “programa potencialmente indesejado” por sua capacidade de baixar e instalar automaticamente novos malwares da Internet.
Por fim, o tablet veio com uma versão pré-instalada e desatualizada do aplicativo KIDOZ, que funciona como uma loja de aplicativos que permite aos pais definir o controle dos pais e aos filhos baixar jogos e aplicativos. A app store “coleta e envia dados para ‘kidoz.net’ sobre uso e atributos físicos do dispositivo. Isso inclui informações como modelo do dispositivo, marca, país, fuso horário, tamanho da tela, visualização de eventos, eventos de clique, horário de registro dos eventos e um KID ID exclusivo”, de acordo com o relatório de Hancock.
O fundador da KIDOZ, Eldad Ben Tora, disse ao TechCrunch que o aplicativo é certificado para respeitar a COPPA, a lei federal dos EUA que estabelece algumas proteções de privacidade online para crianças, e que o aplicativo “passou por um rigoroso processo de avaliação por um programa COPPA Safe Harbor aprovado pela FTC chamado PRIVO, que incluiu uma revisão completa de nossas práticas de coleta, armazenamento e uso de dados.”
“Este processo garante que nossos serviços cumpram integralmente os requisitos da COPPA, priorizando a proteção da privacidade das crianças”, disse Ben Tora ao TechCrunch.
O tablet Dragon Touch que Hancock analisou estava à venda na Amazon até esta semana, quando a listagem caiu e foi substituída por uma listagem do mesmo tablet, que afirma que o tablet roda Android 12, lançado em 2021. Imagens em a listagem, no entanto, diz que o tablet roda Android 10, lançado em 2019.
Não está claro quão populares são esses tablets, mas as listagens da Amazon mostraram mais de 1.000 avaliações.
O porta-voz da Amazon, Adam Montgomery, disse ao TechCrunch por e-mail que a empresa está “analisando essas alegações e tomará as medidas apropriadas, se necessário”.
O tablet Dragon Touch também estava disponível no Walmart até esta semana. Depois que o TechCrunch entrou em contato com a empresa, o Walmart removeu a listagem de seu site.
“Removemos este item de terceiros de nosso site enquanto nossa Confiança e Segurança conduz uma revisão”, disse o porta-voz do Walmart, John Forrest Ales, por e-mail. “Como outros grandes varejistas on-line, operamos um mercado on-line que permite que vendedores externos ofereçam mercadorias aos clientes por meio de nossa plataforma de comércio eletrônico. Esperamos que esses itens sejam seguros, confiáveis e estejam em conformidade com nossos padrões e todos os requisitos legais. Os itens identificados como não atendendo a esses padrões ou requisitos serão imediatamente removidos do site e permanecerão bloqueados.”
Contate-nos
Você tem mais informações sobre outras falhas em dispositivos populares? Adoraríamos ouvir de você. Você pode entrar em contato com Lorenzo Franceschi-Bicchierai com segurança no Signal pelo telefone +1 917 257 1382, ou via Telegram, Keybase e Wire @lorenzofb, ou e-mail. Você também pode entrar em contato com o TechCrunch via SecureDrop
Toque do Dragão é listado no site oficial do Android como um dispositivo “certificado” que foi “testado quanto à segurança e desempenho”.
O porta-voz do Google, Ed Fernandez, disse ao TechCrunch por e-mail que a empresa estava “avaliando minuciosamente as afirmações deste relatório para determinar se o dispositivo do fabricante atende aos padrões de segurança exigidos para Certificação Play Protect.”
Os produtos infantis conectados à Internet são há muito tempo alvo de hackers. Em 2015, um hacker invadiu os servidores da VTech, uma empresa de eletrônicos de consumo que fabricava gadgets para crianças. O hack resultou no roubo de informações pessoais de quase cinco milhões de pais, incluindo nomes, endereços de e-mail, senhas e endereços residenciais, e dados pessoais de mais de 200 mil crianças, incluindo nomes, sexos e datas de aniversário. O hacker também obteve milhares de fotos de pais e filhos e um ano de registros de bate-papo.
Depois de terminar sua pesquisa, Hancock disse que teve que ficar com o tablet porque sua filha se apegou a ele durante uma viagem com os primos. Mas Hancock só devolveu o tablet à filha depois de fazer alterações para proteger a privacidade da filha.
“Eu conversei com ela sobre por que eu estava com o tablet dela e por que fiquei com ele por tanto tempo longe dela. Eu disse a ela que estava doente, que tinha um vírus, que eu precisava melhorar e levar ao médico”, disse Hancock.
Na prática, Hancock disse que ela “detonou tudo” que pôde.
Primeiro, Hancock disse que instalou um perfil VPN no tablet em um servidor privado que roda Buraco pi, um software de bloqueio de anúncios; depois, ela limitou o número de aplicativos que sua filha poderia usar; redirecionou o DNS – o sistema de internet que conecta endereços IP a nomes de domínio, para “quaisquer domínios problemáticos”; e até instalou o Tor, um navegador projetado para proteger o anonimato de seu usuário.
Hancock, no entanto, disse que os pais não deveriam precisar fazer tudo isso para proteger a privacidade de seus filhos, especialmente porque nem todo mundo tem conhecimento técnico, ou tempo, para pesquisar as questões de segurança cibernética e privacidade dos tablets de seus filhos.
“Os pais realmente não podem fazer muito”, disse ela. “E, honestamente, isso não deveria ser deixado para eles.”
