يجد الباحث أن الكمبيوتر اللوحي للأطفال يحتوي على برامج ضارة ويكشف بيانات الطفل

في مايو هذا في العام الماضي، حصلت ابنة أليكسيس هانكوك على جهاز لوحي للأطفال في عيد ميلادها. كونه باحثًا أمنيًا، شعر هانكوك بالقلق على الفور.

وقال هانكوك لـ TechCrunch، في إشارة إلى صانع الجهاز اللوحي: “لقد نظرت إلى الأمر بطريقة جانبية لأنني لم أسمع مطلقًا عن Dragon Touch”.

وكما تبين، كان لدى هانكوك، الذي يعمل في مؤسسة الحدود الإلكترونية، أسباب وجيهة للقلق. وقالت هانكوك إنها وجدت أن الجهاز اللوحي به عدد كبير من مشكلات الأمان والخصوصية التي يمكن أن تعرض بيانات ابنتها وبيانات أطفالها الآخرين للخطر.

يحتوي جهاز Dragon Touch KidzPad Y88X على آثار لبرامج ضارة معروفة، ويعمل بإصدار Android الذي تم إصداره قبل خمس سنوات، ويأتي محملاً مسبقًا ببرامج أخرى تعتبر برامج ضارة و”برنامج يُحتمل أن يكون غير مرغوب فيه” بسبب “تاريخه ونطاقه الواسع”. أذونات على مستوى النظام لتنزيل أي تطبيق يريده”، ويتضمن إصدارًا قديمًا من متجر التطبيقات المصمم خصيصًا للأطفال، وفقًا لتقرير هانكوك، الذي صدر يوم الخميس واطلع عليه موقع TechCrunch قبل نشره.

وقالت هانكوك إنها تواصلت مع Dragon Touch للإبلاغ عن هذه المشكلات، لكن الشركة لم تستجب أبدًا. لم يستجب Dragon Touch لأسئلة TechCrunch أيضًا.

أول شيء مثير للقلق قالت هانكوك إنها عثرت عليه على الجهاز اللوحي هو آثار وجود Corejava، والتي قامت شركة Malwarebytes للأمن السيبراني في يناير بتحليلها وخلصت إلى أنها ضارة. وفي هذا العام أيضًا، اكتشفت مؤسسة Electronic Frontier Foundation وباحثون أمنيون مستقلون نفس النوع من البرامج الضارة المضمنة في برامج أجهزة التلفزيون الرخيصة التي تعمل بنظام Android. وقال هانكوك إن الخبر السار هو أن البرامج الضارة على الأقل بدت غير نشطة، وتمت برمجتها لإرسال البيانات إلى خوادم خاملة.

وفقًا لتقرير هانكوك الفني، فقد تم تحميل الجهاز اللوحي مسبقًا ببرنامج Adups – وهو نفس البرنامج الموجود في أجهزة تلفزيون Android – والذي يُستخدم لإجراء تحديثات “البرامج الثابتة عبر الأثير”. صنفت Malwarebytes Adups على أنها برامج ضارة و”برنامج يُحتمل أن يكون غير مرغوب فيه” لقدرته على تنزيل برامج ضارة جديدة وتثبيتها تلقائيًا من الإنترنت.

أخيرًا، يأتي الجهاز اللوحي مزودًا بإصدار قديم ومثبت مسبقًا من تطبيق KIDOZ، والذي يعمل كمتجر تطبيقات يسمح للآباء بتعيين أدوات الرقابة الأبوية وللأطفال بتنزيل الألعاب والتطبيقات. يقوم متجر التطبيقات “بجمع وإرسال البيانات إلى “kidoz.net” حول الاستخدام والسمات المادية للجهاز. يتضمن ذلك معلومات مثل طراز الجهاز، والعلامة التجارية، والبلد، والمنطقة الزمنية، وحجم الشاشة، وعرض الأحداث، وأحداث النقر، ووقت تسجيل الأحداث، ومعرف KID الفريد، وفقًا لتقرير هانكوك.

صرح مؤسس KIDOZ، إلداد بن تورا، لـ TechCrunch أن التطبيق معتمد لاحترام COPPA، القانون الفيدرالي الأمريكي الذي ينص على بعض إجراءات حماية الخصوصية عبر الإنترنت للأطفال، وأن التطبيق “خضع لعملية تقييم صارمة من قبل برنامج COPPA Safe Harbor المعتمد من لجنة التجارة الفيدرالية والذي يسمى PRIVO، والتي تضمنت مراجعة شاملة لممارسات جمع البيانات وتخزينها واستخدامها.

وقال بن تورا لـ TechCrunch: “تضمن هذه العملية امتثال خدماتنا بالكامل لمتطلبات COPPA، مع إعطاء الأولوية لحماية خصوصية الأطفال”.

كان الجهاز اللوحي Dragon Touch الذي حلله هانكوك معروضًا للبيع على أمازون حتى هذا الأسبوع، عندما انخفضت القائمة وتم استبدالها بقائمة لنفس الجهاز اللوحي، والتي تدعي أن الجهاز اللوحي يعمل بنظام Android 12، والذي تم إصداره في عام 2021. ومع ذلك، تقول القائمة أن الجهاز اللوحي يعمل بنظام Android 10، الذي تم إصداره في عام 2019.

ليس من الواضح مدى شعبية هذه الأجهزة اللوحية، لكن قوائم أمازون أظهرت أكثر من 1000 تقييم.

صرح المتحدث باسم أمازون، آدم مونتغمري، لـ TechCrunch في رسالة بالبريد الإلكتروني أن الشركة “تبحث في هذه الادعاءات، وستتخذ الإجراء المناسب إذا لزم الأمر”.

كان جهاز Dragon Touch اللوحي متاحًا أيضًا في Walmart حتى هذا الأسبوع. بعد أن تواصلت TechCrunch مع الشركة، قامت Walmart بإزالة القائمة من موقعها على الويب.

وقال جون فورست أليس، المتحدث باسم وول مارت، في رسالة بالبريد الإلكتروني: “لقد قمنا بإزالة عنصر الطرف الثالث هذا من موقعنا بينما تجري منظمة الثقة والسلامة لدينا مراجعة”. “مثل تجار التجزئة الرئيسيين الآخرين عبر الإنترنت، نحن ندير سوقًا عبر الإنترنت يسمح للبائعين الخارجيين بتقديم البضائع للعملاء من خلال منصة التجارة الإلكترونية الخاصة بنا. نتوقع أن تكون هذه العناصر آمنة وموثوقة ومتوافقة مع معاييرنا وجميع المتطلبات القانونية. ستتم إزالة العناصر التي تم تحديدها على أنها لا تلبي هذه المعايير أو المتطلبات على الفور من موقع الويب وستظل محظورة.

تم إدراج Dragon Touch على موقع Android الرسمي على الويب باعتباره جهازًا “معتمدًا” تم “اختباره من حيث الأمان والأداء”.

أخبر المتحدث باسم Google، إد فرنانديز، موقع TechCrunch عبر البريد الإلكتروني أن الشركة “تقوم بتقييم شامل للادعاءات الواردة في هذا التقرير لتحديد ما إذا كان جهاز الشركة المصنعة يفي بمعايير الأمان المطلوبة للحصول على شهادة Play Protect”.

لطالما كانت منتجات الأطفال المتصلة بالإنترنت هدفًا للقراصنة. في عام 2015، اخترق أحد المتسللين خوادم شركة VTech، وهي شركة إلكترونيات استهلاكية تصنع أدوات للأطفال. وأدى الاختراق إلى سرقة المعلومات الشخصية لما يقرب من خمسة ملايين من الآباء، بما في ذلك الأسماء وعناوين البريد الإلكتروني وكلمات المرور وعناوين المنازل، والبيانات الشخصية لأكثر من 200 ألف طفل، بما في ذلك الأسماء والجنس وأعياد الميلاد. حصل المتسلل أيضًا على آلاف الصور للآباء والأطفال وسجلات الدردشة لمدة عام.

وبعد الانتهاء من بحثها، قالت هانكوك إنها اضطرت إلى الاحتفاظ بالجهاز اللوحي لأن ابنتها تعلقت به أثناء رحلة مع أبناء عمومتها. لكن هانكوك لم تعيد الجهاز اللوحي إلى ابنتها إلا بعد إجراء تغييرات لحماية خصوصية ابنتها.

“لقد تحدثت معها عن سبب حصولي على جهازها اللوحي، ولماذا احتفظت به لفترة طويلة بعيدًا عنها. قال هانكوك: “أخبرتها أنها مريضة، وبها فيروس، وكان عليّ أن أتحسن، وكان عليّ أن آخذها إلى الطبيب”.

ومن الناحية العملية، قالت هانكوك إنها “قصفت كل ما في وسعها”.

أولاً، قالت هانكوك إنها قامت بتثبيت ملف تعريف VPN على الجهاز اللوحي على خادم خاص يقوم بتشغيل Pi-hole، وهو برنامج لحظر الإعلانات؛ ثم قامت بتحديد عدد التطبيقات التي يمكن لابنتها استخدامها؛ إعادة توجيه نظام أسماء النطاقات (DNS) – نظام الإنترنت الذي يربط عناوين IP بأسماء النطاقات، “لأي نطاقات بها مشكلات”؛ وحتى تثبيت Tor، وهو متصفح مصمم لحماية سرية هوية مستخدمه.

ومع ذلك، قال هانكوك إنه لا ينبغي للآباء القيام بكل هذا لحماية خصوصية أطفالهم، خاصة لأنه ليس لدى الجميع القطع الفنية، أو الوقت، للبحث في مشكلات الأمن السيبراني والخصوصية الخاصة بأجهزة أطفالهم اللوحية.

وقالت: “لا يستطيع الآباء فعل الكثير”. “وبصراحة، لا ينبغي ترك الأمر لهم.”