Новости Software

DJI заподозрили в сборе личных данных пользователей через Android-приложение для управления дронами

Специалисты по цифровой безопасности из США и Европы провели расследование и обнаружили уязвимость в приложении, с помощью которого осуществляется управление летающими дронами китайской компании Da Jiang Innovations (DJI). Последняя, к слову, является крупнейшим мировым производителем подобной техники.

Эксперты из французской фирмы Synacktiv и американской GRIMM подготовили отчёты, в которых говорится, что приложение DJI Go для мобильной операционной системы Android, использующееся для управления дронами DJI, собирает личную информацию владельцев. Впоследствии эти данные могут быть использованы правительством Китая.

Специалисты отмечают, что проблема заключается не только в сборе информации. Указывается, что DJI может обновлять своё приложение в обход компании Google, которая обычно проводит проверку всех изменений перед тем как они попадают в Play Маркет. Таким образом DJI может нарушать соглашение Google для разработчиков приложений, отмечают исследователи. Для пользователя вносимые в ПО изменения определить сложно. Однако, даже если приложение не активно, оно находится в режиме ожидания команд от удалённого сервера, отмечают эксперты.

«Телефон имеет доступ ко всему, что делает дрон, однако информация, о которой мы говорим, это информация о самом телефоне. Мы не понимаем, зачем DJI нужен доступ к этим данным», — комментирует инженер компании Synacktiv Тифани Романд-Латапи (Tiphaine Romand-Latapie).

В то же время специалист добавляет, что не может назвать эту уязвимость в безопасности настоящим бэкдором для хакеров, позволяющим получить доступ к телефону владельца дрона. Представители DJI в свою очередь заявили, что используют такой метод обновления приложения для того, чтобы энтузиасты не могли его взломать, переделать и использовать в обход правительственных нормативов, ограничивающих дальность и высоту полётов дронов.

«Это мера безопасности, использующаяся в одном из наших Android-приложений для управления дронами, предотвращает возможность использования взломанной версии приложения для обхода наших функций безопасности, таких как максимальная высота и геофенсинг», — заявил представитель компании DJI Брендан Шульман (Brendan Schulman).

По его словам, если система обнаруживает взлом приложения, пользователя сразу же направляют на официальный сайт компании, где он может загрузить официальную версию программного обеспечения. Представитель компании также добавил, что такая особенность отсутствует в программных продуктах, которые используется корпоративными клиентами и государственными структурами.

Компания Google собирается изучить отчёты, предоставленные специалистами по цифровой безопасности. Эксперты из Synacktiv в свою очередь отмечают, что не обнаружили аналогичных особенностей обновления приложения в китайском App Store для устройств, работающих на базе операционной системы iOS от Apple.

Эксперты предполагают, что метод обновления Android-приложения, где пользователя направляют на сайт производителя дронов, вероятнее всего, связан с тем, что правительство Китая блокирует Google и его сервисы на территории страны. Таким образом разработчиков приложений  в буквальном смысле вынуждают самостоятельно решать вопрос с их обновлениями.

По данным издания The New York Times, расследование специалистов проводилось по заказу третьих сторон. Своих клиентов  эксперты в безопасности не называют, но указывают, что в прошлом они сотрудничали с различными аэрокосмическими компаниями, а также другими производителями дронов, которые могут быть потенциальными конкурентами DJI.

Китайский производитель дронов DJI, как и многие другие успешные производители из Поднебесной, на фоне продолжающейся торговой войны между США и Китаем, уже давно привлекают повышенное внимание американского правительства. Например, запрет на использование дронов DJI своими сотрудниками наложил Пентагон. В январе этого года Министерство внутренних дел США (Department of the Interior, DOI) отказалось от использования продуктов китайского производителя из-за опасения по поводу их безопасности. В течение нескольких месяцев американские чиновники выступали с заявлениями о возможном использовании технических недостатков радиоуправляемых летающих устройств китайского производителя правительством Пекина. На федеральном уровне их использование действительно запретили, однако местные власти таких поправок в свои регулирующие документы не вносили.

«Каждая китайская технологическая компания, согласно китайскому закону, обязана по требованию правительства предоставить любую информацию, которую она получает от пользователей и хранит у себя», — говорит руководитель Национального центра по контрразведке и безопасности (National Counterintelligence Executive, NCIX).

Компания DJI в свою очередь заявила, что принятые американской стороной решения мотивированы политикой, а не возможной уязвимостью их программного обеспечения.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме
Прежде чем оставить комментарий, пожалуйста, ознакомьтесь с правилами комментирования. Оставляя комментарий, вы подтверждаете ваше согласие с данными правилами и осознаете возможную ответственность за их нарушение.
Все комментарии премодерируются.
Комментарии загружаются...
window-new
Soft
Hard
Тренды 🔥
HPE анонсировала серию суперкомпьютеров Cray EX экзафлопсного класса 5 мин.
Видеокарты AMD ломаются в полтора раза чаще NVIDIA, хотя самой неудачной оказалась GeForce RTX 2080 Ti 8 мин.
Samsung Galaxy Note 20 получит специальный чип, который поможет найти ключи или другие устройства 12 мин.
Google Pixel 4a поступил в продажу на Amazon за несколько часов до официальной презентации 3 ч.
Приём предзаказов на Xbox Series X стартует «уже скоро», вероятно в августе 3 ч.
Поставки серверов для периферийных вычислений удвоятся к 2024 году 3 ч.
Активы Arm могут не достаться NVIDIA. В покупке заинтересовался консорциум с участием Samsung 4 ч.
Sony уточнила, какие аксессуары и периферия для PlayStation 4 будут совместимы с PlayStation 5 4 ч.
Смартфоны Google Pixel 5 и Pixel 4a 5G показались на официальном пресс-фото 4 ч.
Apple может разделить анонс iPhone 12 на две презентации. На каждой может быть показано по две модели 5 ч.