Новости Software

DJI заподозрили в сборе личных данных пользователей через Android-приложение для управления дронами

Специалисты по цифровой безопасности из США и Европы провели расследование и обнаружили уязвимость в приложении, с помощью которого осуществляется управление летающими дронами китайской компании Da Jiang Innovations (DJI). Последняя, к слову, является крупнейшим мировым производителем подобной техники.

Эксперты из французской фирмы Synacktiv и американской GRIMM подготовили отчёты, в которых говорится, что приложение DJI Go для мобильной операционной системы Android, использующееся для управления дронами DJI, собирает личную информацию владельцев. Впоследствии эти данные могут быть использованы правительством Китая.

Специалисты отмечают, что проблема заключается не только в сборе информации. Указывается, что DJI может обновлять своё приложение в обход компании Google, которая обычно проводит проверку всех изменений перед тем как они попадают в Play Маркет. Таким образом DJI может нарушать соглашение Google для разработчиков приложений, отмечают исследователи. Для пользователя вносимые в ПО изменения определить сложно. Однако, даже если приложение не активно, оно находится в режиме ожидания команд от удалённого сервера, отмечают эксперты.

«Телефон имеет доступ ко всему, что делает дрон, однако информация, о которой мы говорим, это информация о самом телефоне. Мы не понимаем, зачем DJI нужен доступ к этим данным», — комментирует инженер компании Synacktiv Тифани Романд-Латапи (Tiphaine Romand-Latapie).

В то же время специалист добавляет, что не может назвать эту уязвимость в безопасности настоящим бэкдором для хакеров, позволяющим получить доступ к телефону владельца дрона. Представители DJI в свою очередь заявили, что используют такой метод обновления приложения для того, чтобы энтузиасты не могли его взломать, переделать и использовать в обход правительственных нормативов, ограничивающих дальность и высоту полётов дронов.

«Это мера безопасности, использующаяся в одном из наших Android-приложений для управления дронами, предотвращает возможность использования взломанной версии приложения для обхода наших функций безопасности, таких как максимальная высота и геофенсинг», — заявил представитель компании DJI Брендан Шульман (Brendan Schulman).

По его словам, если система обнаруживает взлом приложения, пользователя сразу же направляют на официальный сайт компании, где он может загрузить официальную версию программного обеспечения. Представитель компании также добавил, что такая особенность отсутствует в программных продуктах, которые используется корпоративными клиентами и государственными структурами.

Компания Google собирается изучить отчёты, предоставленные специалистами по цифровой безопасности. Эксперты из Synacktiv в свою очередь отмечают, что не обнаружили аналогичных особенностей обновления приложения в китайском App Store для устройств, работающих на базе операционной системы iOS от Apple.

Эксперты предполагают, что метод обновления Android-приложения, где пользователя направляют на сайт производителя дронов, вероятнее всего, связан с тем, что правительство Китая блокирует Google и его сервисы на территории страны. Таким образом разработчиков приложений  в буквальном смысле вынуждают самостоятельно решать вопрос с их обновлениями.

По данным издания The New York Times, расследование специалистов проводилось по заказу третьих сторон. Своих клиентов  эксперты в безопасности не называют, но указывают, что в прошлом они сотрудничали с различными аэрокосмическими компаниями, а также другими производителями дронов, которые могут быть потенциальными конкурентами DJI.

Китайский производитель дронов DJI, как и многие другие успешные производители из Поднебесной, на фоне продолжающейся торговой войны между США и Китаем, уже давно привлекают повышенное внимание американского правительства. Например, запрет на использование дронов DJI своими сотрудниками наложил Пентагон. В январе этого года Министерство внутренних дел США (Department of the Interior, DOI) отказалось от использования продуктов китайского производителя из-за опасения по поводу их безопасности. В течение нескольких месяцев американские чиновники выступали с заявлениями о возможном использовании технических недостатков радиоуправляемых летающих устройств китайского производителя правительством Пекина. На федеральном уровне их использование действительно запретили, однако местные власти таких поправок в свои регулирующие документы не вносили.

«Каждая китайская технологическая компания, согласно китайскому закону, обязана по требованию правительства предоставить любую информацию, которую она получает от пользователей и хранит у себя», — говорит руководитель Национального центра по контрразведке и безопасности (National Counterintelligence Executive, NCIX).

Компания DJI в свою очередь заявила, что принятые американской стороной решения мотивированы политикой, а не возможной уязвимостью их программного обеспечения.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме
Прежде чем оставить комментарий, пожалуйста, ознакомьтесь с правилами комментирования. Оставляя комментарий, вы подтверждаете ваше согласие с данными правилами и осознаете возможную ответственность за их нарушение.
Все комментарии премодерируются.
Комментарии загружаются...
window-new
Soft
Hard
Тренды 🔥
Закрытое тестирование ПК-версии Halo 4 начнётся до конца октября 29 мин.
Скорее хорошо, чем плохо: критики разошлись во мнениях касательно Mafia: Definitive Edition 32 мин.
Бонусы в GTA Online: бесплатная компания, деньги и двойные награды 37 мин.
Видео: блогер показал, как изменилась финальная сцена в ремейке Mafia, сравнив её с оригиналом и Mafia II 41 мин.
Трой Бейкер в роли «кошмарной сущности»: представлен сюжетный трейлер The Medium от авторов Layers of Fear 45 мин.
Создатели обновлённой NieR Replicant показали три минуты геймплея и объявили о старте предзаказов 50 мин.
Variety: Sega взялась за ещё одну экранизацию криминальных боевиков Yakuza 60 мин.
Сайт криптобиржи Binance внесли в России в реестр запрещённых 3 ч.
Джейсон Шрайер: Final Fantasy XVI в разработке уже четыре года и выйдет «раньше, чем предполагают люди» 3 ч.
«Надеемся, что приживётся»: локализаторы Disco Elysium рассказали о принципах перевода имён персонажей на русский язык 4 ч.
К концу десятилетия Тайвань намеревается увеличить выручку от полупроводниковой отрасли на 85 % 15 мин.
Продвинутый смартфон среднего уровня Galaxy A72 получит пять тыльных камер 18 мин.
Производители электрических грузовиков Tesla и Nikola выясняют в суде, кто у кого украл идеи дизайна 48 мин.
Intel и AMD будут поставлять Huawei в первую очередь процессоры для ноутбуков 57 мин.
Корпус для ПК с пассивным охлаждением MonsterLabo The Beast оборудован двумя гигантскими 3-кг радиаторами 2 ч.
Экипаж МКС снова изолируется для поиска места утечки воздуха 2 ч.
Canon представила кинокамеру нового поколения EOS C70 в корпусе беззеркалки 2 ч.
5G в каждый дом: Samsung представила компактную сотовую ячейку 5G для помещений 3 ч.
Графический процессор GeForce RTX 3090 под жидким азотом смог разогнаться до 2580 МГц 3 ч.
G.SKILL представила модули памяти DDR4 с высокой частотой и низкими задержками 3 ч.