EFF araştırmacıları tarafından analiz edilen Amazon’daki Dragon Touch KidzPad Y88X 10 tablet aynı zamanda önceden yüklenmiş risk yazılımı ve KIDOZ adı verilen güncelliğini kaybetmiş bir ebeveyn kontrolü uygulamasıyla birlikte geliyor.
Amazon gibi perakendeciler, çocuklar için düşük maliyetli Android cihazların yaygınlaştırılmasında önemli bir rol oynadı. Ancak Electronic Frontier Foundation’ın (EFF) bu tür cihazlar üzerinde yürüttüğü araştırmaya göre, bunların kötü amaçlı yazılım içerme ihtimali var.
EFF araştırmacıları Amazon’un Dragon Touch KidzPad Y88X 10 tabletini incelediler ve yalnızca kötü amaçlı yazılımları değil, aynı zamanda önceden yüklenmiş riskli yazılımları ve KIDOZ adı verilen güncelliğini kaybetmiş bir ebeveyn kontrolü uygulamasını da keşfettiler. EFF’nin incelemelerinin ardından Amazon, ürünü platformdan kaldırdı. Ancak sitede hala diğer Y88X modelleri satılıyor.
Amazon cihazlarının, önceden yüklenmiş kötü amaçlı yazılımların varlığı nedeniyle sıklıkla eleştirilere maruz kaldığını burada belirtmekte fayda var. Ocak 2023’te şirket, donanım yazılımında yerleşik, gelişmiş, kalıcı ve önceden yüklenmiş kötü amaçlı yazılımları barındıran bir T95 Android TV kutusu satmasıyla dikkat çekti.
Sorunun bilinmesine rağmen Amazon, güvenliği ihlal edilen bu cihazları Şubat 2023’e kadar satmaya devam etti. Her iki durumda da cihazlara aynı Corejava kötü amaçlı yazılımı da bulaşmıştı.
Android Açık Kaynak Projesi (AOSP), Google’ın açık kaynaklı Android işletim sistemidir. Sonuç olarak, satın alınabilecek çoğu Android cihazı, genellikle AOSP’nin “dış görünümlü” sürümü olarak adlandırılan, birden fazla özelleştirme katmanı içeren AOSP ile donatılmıştır.
Yararlı özelliklere ek olarak, bu özelleştirilmiş sürümler, istenmeyen uygulamaların veya yazılımların dahil edilmesini kolaylaştırabilir. Örneğin Samsung, 2019’da Facebook uygulamasını telefonlarına önceden yükledi ve kullanıcılara yalnızca uygulamayı devre dışı bırakma seçeneği tanıdı; ancak daha sonra bunun bir yer tutucu uygulama olduğu ortaya çıktı. Bununla birlikte, daha kötü niyetli durumlarda, özelleştirilmiş sürümler önceden yüklenmiş kötü amaçlı yazılımlarla birlikte gelebilir.
Dragon Touch Tablet’te de durum tam olarak budur. Araştırmacılar, tabletin donanım yazılımında “/data/system/Corejava” ve “/data/system/Corejava/node” gibi dizinlerin varlığıyla kanıtlandığı gibi, kötü şöhretli Corejava kötü amaçlı yazılımını barındırdığını keşfettiler. Bu dizinler cihazda Corejava’nın aktif varlığını gösteriyordu. Bir başka tehlike işareti de diğer üreticilere bağlantıların eklenmesi ve tabletten kaynaklanan olağandışı taleplerdi.
Araştırmacılar, kötü amaçlı yük indirme girişimlerini önlemek için Corejava’nın C2 sunucuları kapatıldıktan sonra tableti ilk kez çalıştırdılar. Bununla birlikte, gözle görülür herhangi bir faaliyetin olmayışı, muhtemelen acele üretimin bir sonucu olarak veya gelecekteki olası faaliyetler için bırakılmış, ‘kopyalanmış bir ödeve’ benzeyen, kötü amaçlı yazılımdan kalan bir kalıntının varlığını akla getirmiştir.
Üstelik bu tablet, “kablosuz bellenim” (FOTA) güncelleme yazılımı olarak görev yapan ve aynı zamanda Android TV kutularında da bulunan Adups ile önceden yüklenmiş durumda. “Kablosuz Güncelleme” adı altında sisteme dahil edildi.
Adups, kötü amaçlı yazılım olarak sınıflandırılıyor, ancak sözde “temiz sürümleri” var ve bu tablette de böyle bir sürüm mevcuttu. Adups, Dragon Touch OEM ile önceden yüklenmiş olarak gelir ve fabrika ayarlarına sıfırlandıktan sonra bile uygulama yeniden belirerek kaldırılmasını veya devre dışı bırakılmasını imkansız hale getirir.
Araştırmacılar ayrıca Android TV kutusu satıcıları ile Dragon Touch tablet arasında önemli bir korelasyon olduğunu da belirtti. Grup birden fazla markayı tescil ettirmiş ve tabletin adresini Walmart’ta paylaşmıştı. Bu, bu satıcıyla ilişkili tüm cihazların kapsamlı bir incelemeye tabi tutulması gerektiği sonucuna varılmasına yol açtı.
Dragon Touch tablet, görünüşe göre reklam yazılımı olan eski bir KIDOZ uygulamasıyla donatılmıştır. COPPA Sertifikalı olmasına rağmen bu uygulama mini bir işletim sistemi olarak işlev görür. Özellikle yönlendiren Tablet Express’in artık operasyonel olmaması dikkat çekicidir.
Bu, Dragon Touch’ın, Kidoz.net’e veri toplamaya ve göndermeye devam eden uygulamanın eski bir sürümünü yeniden kullandığını gösteriyor. Bilgiler, cihaz modeli, marka, ülke, ekran boyutu, saat dilimi, tıklama etkinlikleri, görüntüleme etkinlikleri, etkinliklerin kayıt zamanı ve benzersiz KID ID gibi ayrıntıları içerir.
Ayrıca araştırmacılar, Kids Paint FREE uygulamasının, sunucunun kendisi mevcut olmasa bile, bir reklam sunucusuna kesin GPS koordinatlarını aktardığını keşfetti. Bu, tabletin önceden yüklenmiş uygulamalarının gizlilik ve güvenlik etkilerine ilişkin endişeleri artırıyor.
EFF blog gönderisinde, “Cihaza özgü bilgilerin öncelikle HTTP (güvenli olmayan) web istekleri üzerinden sızması, cihazdaki bilgileri sızdırmak isteyen veya bu geçersiz etki alanlarını elde etmek isteyen kötü aktörler tarafından hedeflenebilir” ifadesine yer verildi.
Amazon’un sahte incelemelerle mücadele etme çabalarına rağmen, pazar devinin, özellikle de hedeflerin savunmasız çocuklar olduğu durumlarda artan siber güvenlik endişelerini gidermek için daha fazlasını yapması gerekiyor.
İLGİLİ MAKALELER
- Ucuz Android telefonlara önceden yüklenmiş kötü amaçlı yazılım ikilisi
- Araştırmacı HP dizüstü bilgisayarlarda önceden yüklenmiş keylogger’ı buldu
- Önceden yüklenmiş Android kötü amaçlı yazılımı 10 günde 115 bin dolar gelir elde etti
- OnePlus 5, 3 ve 3T Cihazlarında Önceden Yüklenmiş Arka Kapı Vardır
- Amazon, önceden yüklenmiş kötü amaçlı yazılımlara sahip Android Tabletler için güvenli bir sığınak