Приложение DJI Go 4 для Android, созданное для управления дронами DJI, собирало данные пользователей и могло загружать и устанавливать посторонние программы. К такому выводу пришли два независимых исследования.
Приложение используется для съёмки видео с дронов DJI, крупнейшего в мире производителя коммерческих беспилотников. Число загрузок приложения в Play Store превышает 1 млн.
В июле сразу две фирмы по информационной безопасности — Synacktiv и Grimm — опубликовали результаты исследований приложения. Обе компании выяснили, что приложение, как минимум, нарушало правила Google и до недавнего времени собирало множество конфиденциальных пользовательских данных и отправляло их на серверы, расположенные в Китае. Специалисты подозревают, что приложение может шпионить за пользователями.
Согласно сообщениям экспертов, приложение могло самостоятельно устанавливать и загружать сторонние программы вне Google Play благодаря функции обновления. Один из компонентов приложения собирал такую информацию, как IMEI, IMSI, имя оператора, серийный номер SIM-карты, информация об SD-карте, язык ОС, версия ядра, размер и яркость экрана, а также адреса Bluetooth. Приложение самостоятельно перезапускалось после выключения и работало в фоновом режиме. Кроме того, приложение требовало доступа к контактам, микрофону, камере, а также возможности менять сетевое подключение. По мнению исследователей, такое количество разрешений означало, что серверы DJI «почти полностью контролировали пользовательские устройства».
Представители DJI, в свою очередь, заявили, что исследователи обнаружили «гипотетические уязвимости», и что ни в одном из отчетов не было представлено никаких доказательств того, что эти уязвимости когда-либо подвергались эксплуатации. Они также заявили, что все функции и компоненты, описанные в отчетах, либо служили законным целям, либо были удалены в одностороннем порядке и не использовались злонамеренно.
«Гипотетические уязвимости, изложенные в этих отчетах, лучше всего характеризуются как потенциальные ошибки, которые мы активно пытались выявить с помощью нашей программы Bug Bounty. Некоторые компоненты, указанные в отчетах, ранее были удалены из приложений управления дронами DJI после выявления в них потенциальных недостатков безопасности. Опять же, нет никаких доказательств того, что их когда-либо эксплуатировали».
В DJI также подчеркнули, что дроны DJI, разработанные для государственных учреждений, не передают данные в DJI и совместимы только с некоммерческой версией приложения DJI Pilot. Программное обеспечение для этих дронов обновляется только в автономном режиме, что означает, что отчёт Grimm и Synacktiv не имеет к ним отношения. «Специалисты компании Booz Allen Hamilton провели аудит этих систем и не обнаружили никаких доказательств того, что данные, которые собираются этими дронами, передаются DJI, в Китай или любой другой третьей стороне. Ранее продукты DJI подвергались проверкам Национального управления океанических и атмосферных исследований, американской компании по кибербезопасности Kivu Consulting, Министерства внутренних дел США и Министерства внутренней безопасности США», — заявили в компании.
Google отметила, что пока изучает оба отчёта. При этом версия приложения для iOS не содержит никаких сомнительных механизмов. Как указывает ArsTechnica, исследование в отношении DJI подчеркивает дезорганизацию нынешней системы приложений Google.
«Неэффективная проверка, отсутствие детализации разрешений в старых версиях Android и открытость операционной системы облегчают публикацию вредоносных приложений в Play Store», — заключает издание.
См. также: «70% пользователей iOS и Android не дают разрешение на трекинг информации»
