DR
- Duas empresas de segurança independentes afirmam que o aplicativo DJI Go 4 inclui vários recursos suspeitos.
- No mínimo, o aplicativo viola algumas políticas da Play Retailer do Google.
- DJI emitiu uma longa declaração na qual refuta muitas das alegações.
Atualização: 27 de julho de 2020 às 17h30 horário do leste dos EUA: Temos mais a dizer! Nosso guru residente de drones, Jonathan Feist, opinou sobre a história de segurança da DJI em nosso web site irmão, Corrida de drones. Não deixe de ler o artigo completo para obter mais informações em dronerush. com.
Alerta de spoiler: as coisas não são tão ruins quanto parecem.
Artigo authentic: 24 de julho de 2020 às 13h (horário do leste dos EUA): Um dos mais populares aplicativos de drones na Google Play Retailer inclui alguns recursos de back-end preocupantes, de acordo com dois relatórios independentes capturados por Ars Técnica. Após a engenharia reversa do Aplicativo DJI Go 4empresas de segurança Synacktiv e Grimm descobriu que o software program, na melhor das hipóteses, viola as políticas da Play Retailer do Google e, na pior das hipóteses, poderia ter sido usado para espionar os usuários da empresa. DJI é uma das maiores e mais bem-sucedidas empresas comerciais do mundo drone fabricantes. Com base em informações publicamente disponíveis Métricas da Play Retailero aplicativo DJI Go 4 tem pelo menos 1 milhão de instalações e até 5 milhões.
Um dos aspectos mais suspeitos do aplicativo é que ele pode instalar qualquer aplicativo no dispositivo do usuário por meio de um recurso de autoatualização ou de um instalador dedicado fornecido pela gigante chinesa de mídia social Weibo. Ambos poderiam baixar código de fora da Play Retailer, um aspecto de seu design que viola diretamente os regulamentos do Google. políticas.
Além disso, uma versão anterior do aplicativo incluía um componente que coletava e enviava vários dados confidenciais para a MobTech, uma desenvolvedora de SDK com sede na China continental. Algumas das informações às quais o recurso teve acesso foram o IMEI do telefone, número de série do SIM, informações do cartão SD, endereços Bluetooth e muito mais. DJI removeu essa funcionalidade com o lançamento mais recente do aplicativo DJI Go 4.
Leia também: Os melhores drones que você pode comprar
Por último, os pesquisadores alegam que o aplicativo pode reiniciar automaticamente sempre que você deslizar para cima para fechá-lo, permitindo que ele proceed sendo executado em segundo plano e faça solicitações de rede.
Um porta-voz da DJI disse Ars Técnica o que os pesquisadores descobriram foram “vulnerabilidades hipotéticas”, sem fornecer nenhuma evidência de que tenham sido exploradas.
“A função de atualização de aplicativos descrita nesses relatórios atende ao objetivo de segurança muito importante de mitigar o uso de aplicativos hackeados que buscam substituir nossos recursos de cerca geográfica ou limitação de altitude”, disse um porta-voz da empresa. Geofencing é um recurso de software program que autoridades como o Administração Federal de Aviação (FAA) para impedir que as pessoas voem com seus drones para espaço aéreo restrito. DJI posteriormente publicou um mais declaração extensa no qual tenta abordar muitas das preocupações levantadas pelos relatórios. Recomendamos que você leia a declaração completa antes de ficar muito preocupado.
Mais notavelmente, a empresa afirma que seu aplicativo não reinicia sem a contribuição dos usuários. “Até agora não conseguimos replicar esse comportamento em nossos testes”, disse DJI. Ele também afirmou que removeu recentemente os componentes MobTech e Bugly que o aplicativo apresentava anteriormente, depois que um relatório anterior encontrou problemas com esses SDKs.
O Google, por sua vez, disse que está analisando os relatórios.
A questão aqui é multifacetada. Um grande problema é que as empresas de software program frequentemente não fazem um trabalho suficientemente completo de verificação dos SDKs que utilizam para desenvolver seus aplicativos. Por exemplo, o Fb recentemente entrou com uma ação federal contra uma empresa que desenvolveu um SDK que potencialmente comprometeu os dados de 9,5 milhões de usuários. A natureza aberta do Android e a automação frequente da maioria dos procedimentos de verificação pelo Google significa que os aplicativos que contornam as políticas da Play Retailer da empresa podem facilmente escapar.
Relacionado: Como proteger sua privacidade usando Android
Se você possui um drone DJI e se preocupa com sua privacidade, sua melhor ação é desinstalar o aplicativo DJI Go 4 até que o Google conclua sua investigação. Se o Google encontrar algo alarmante, atualizaremos este artigo com os detalhes que você precisa saber.