Исследователи находят вопиющие проблемы безопасности и конфиденциальности с приложением DJI Go 4
- Две независимые охранные фирмы говорят, что приложение DJI Go 4 включает в себя несколько подозрительных функций.
- По крайней мере, приложение нарушает некоторые правила Google Play Store.
- DJI опубликовал длинное заявление, в котором опровергает многие претензии.
Согласно двум независимым отчетам, пойманным Ars Technica, одно из самых популярных дрон-приложений в Google Play Store включает в себя некоторые тревожные бэкенд-функции. После реинжиниринга приложения DJI Go 4 охранные фирмы Synacktiv и Grimm обнаружили, что программное обеспечение в лучшем случае нарушает правила Google Play Store, а в худшем случае могло бы использоваться для шпионажа за пользователями компании. DJI является одним из крупнейших и наиболее успешных производителей коммерческих беспилотников в мире. Основываясь на общедоступных показателях Play Store, приложение DJI Go 4 имеет как минимум 1 миллион установок и целых 5 миллионов.
Один из наиболее подозрительных аспектов приложения заключается в том, что оно может устанавливать любое приложение на устройстве пользователя с помощью функции самообновления или специального установщика, предоставляемого китайским гигантом социальных сетей Weibo. Оба могут загружать код из-за пределов Play Store, аспект их дизайна, который напрямую нарушает политику Google .
Кроме того, в предыдущей версии приложения был компонент, который собирал и отправлял различные конфиденциальные данные в MobTech, разработчик SDK из материкового Китая. Часть информации, к которой имела доступ эта функция, была IMEI телефона, серийный номер SIM-карты, информация о SD-карте, адреса Bluetooth и многое другое. DJI удалил эту функциональность с самой последней версией приложения DJI Go 4.
Также читайте: Лучшие дроны, которые вы можете купить
Наконец, исследователи утверждают, что приложение может автоматически перезапускаться каждый раз, когда вы проводите вверх, чтобы закрыть его, что позволяет ему продолжать работать в фоновом режиме и отправлять сетевые запросы.
Представитель DJI рассказал Ars Technica, что исследователи обнаружили «гипотетическую уязвимость», не предоставив при этом доказательств того, что они когда-либо подвергались эксплуатации.
«Функция обновления приложения, описанная в этих отчетах, служит очень важной цели безопасности – уменьшить использование взломанных приложений, которые стремятся переопределить наши функции геозоны или ограничения высоты», – сказал представитель компании. Geofencing – это функция программного обеспечения, разработанная такими органами, как полномочия Федерального управления гражданской авиации (FAA), которые запрещают людям летать на дронах в ограниченном воздушном пространстве. Впоследствии DJI опубликовал более обширное заявление, в котором пытается решить многие проблемы, поднятые в отчетах. Мы призываем вас прочитать это полное заявление, прежде чем стать слишком обеспокоенным.
В частности, компания утверждает, что ее приложение не перезапускается без участия пользователей. «До сих пор мы не смогли повторить это поведение в наших тестах», – сказал DJI. Он также заявил, что недавно удалил компоненты MobTech и Bugly, которые приложение ранее показывало после того, как в предыдущем отчете были обнаружены проблемы с этими SDK.
Google, со своей стороны, сказал, что изучает отчеты.
Проблема здесь многогранна. Одна из основных проблем заключается в том, что компании-разработчики программного обеспечения часто недостаточно тщательно проверяют SDK, который они используют для разработки своих приложений. Например, Facebook недавно подал федеральный иск против компании, которая разработала SDK, который потенциально скомпрометировал данные 9,5 миллионов пользователей. Открытый характер Android и частая автоматизация Google большинства проверочных процедур означает, что приложения, которые обходят политики Play Store компании, могут легко пробиться сквозь трещины.
Похожие страницы: Как защитить вашу конфиденциальность с помощью Android
Если у вас есть дрон DJI и вы беспокоитесь о своей конфиденциальности, лучше всего удалить приложение DJI Go 4, пока Google не завершит расследование. Если Google сочтет что-то тревожным, мы обязательно обновим эту статью деталями, которые вам необходимо знать.
Источник записи: https://www.androidauthority.com