headless 曰く、

Electronic Frontier Foundation (EFF) が Amazon.com で販売されていた子供向けタブレット製品を調べたところ、複数の怪しいソフトウェアがプリインストールされていたとして注意喚起している (EFF のブログ記事、 HackRead の記事)。

この製品は Dragon Touch の KidsPad Y88x 10 という子供向け 10 インチタブレットで、既に製品ページは削除されている。7 インチモデルは現在も販売されているが、10 インチモデルの OS が Android 9 Pie なのに対し、7 インチモデルは Android 12 と新しく、プリインストールソフトウェアも異なる可能性がある。Amazon.co.jp でも 7 インチモデルは販売されていたが、こちらは Android 10.0 となっている。

最初に挙げられているのはマルウェア Corejava の痕跡だ。このタブレットには Corejava のディレクトリが存在し、初回起動時に Corejava の C2 サーバーにリクエストが送られたという。ただし、EFF がタブレットを最初に起動した 2023 年 5 月の時点で C2 サーバーは停止しており、現在のところペイロードが送られてくることもない。

また、このタブレットではデバイスを子供向けに変える KIDOZ アプリのプリインストールが売りになっている。KIDOZ アプリは米児童オンラインプライバシー保護法 (COPPA) 認証済みとされているが、プリインストールされているバージョンは古いもので、情報を広告サーバーに送るような古いアプリを含むアプリストア機能が搭載されている。そのため、このバージョンは 5 つのセキュリティベンダーがアドウェアと認識しているが、アプリストア機能の削除された最新バージョンでは 2 ベンダーに減少する。

このほか、過去にマルウェアであったこともある Adups アプリの「クリーンなバージョン」もファームウェア更新ソフトウェアとしてプリインストールされているとのこと。ただし、アプリにはシステムレベルのパーミッションが付与されており、Adups のサーバーから何でもインストールできるため、不安が残る。また、アプリのアンインストールや無効化は容易でなく、デバイスをファクトリーリセットすれば復活するとのことだ。