Adatokat lopott a DJI drónok androidos alkalmazása

A DJI a világ egyik piacvezető cége, ha drónok fejlesztéséről van szó. Drónjaik irányításához a felhasználók egy Google Play Áruházból letöltött alkalmazást használhatnak: a DJI Go 4-t. Nem sokkal ezelőtt két külön adatvédelemmel foglalkozó cég, a Synacktiv és a Grimm is megvizsgálta az appot és aggodalmukat fejezték ki a találtakkal kapcsolatban, mivel kiderült, hogy az adatokat lopott. Vizsgálataik alapján a több, mint egymillió letöltéssel rendelkező app nem sokkal ezelőttig hozzáfért egy sor személyes adathoz és akár más programokat is képes volt letölteni a felhasználók eszközeire.

Mindkét esetben – különösen az utóbbiban – az app működése ellentmond a Google Play szerződési feltételeinek, de az elemzők szerint ez csak a jéghegy csúcsa lehet. A szakértők állítása szerint az app a következőkre volt képes:

• A fejlesztők által meghatározott bármilyen szoftver letöltése és telepítése, vagy egy külön telepítő segítségével egy kínai eredetű közösségi platform (Weibo) szoftverfejlesztői készletének letöltése.
• A legutóbbi frissítés előtt az appnak része volt egy komponens, ami számos személyes adatot gyűjtött be az eszközről (IMEI és IMSI számok, szolgáltató neve, SIM sorszám, SD kártya információi, OS nyelve, képernyő mérete, a hálózat IP, Bluetooth és MAC címei), melyeket a MobTech-nek a szoftverfejlesztői készlet – szintén kínai – tulajdonosának továbbított.
• Az app bezárás után újraindította magát és a háttérben tovább vizsgálta a hálózatot.
• Olyan, általában hackerek által használt elterelési technikákat alkalmazott, melyek megnehezítették az alkalmazás elemzését.

A legoptimistább esetben is az app számos, jogtalanul megszerzett személyes adatot küldött vissza kínai szerverekre, rosszabb esetben viszont a fent említett funkciók alkalmasak lehetnek, hogy a kínai cég aktívan megfigyelje felhasználóit. A két jelentés egyébként majdnem pontosan három évvel azután történt, hogy az Amerikai Hadsereg betiltotta a DJI drónok használatát. Az akkori kritikák szerint a DJI alkalmazások hozzáfértek és továbbítottak képi, hangi, és GPS adatokat a cég külföldi szervereire. A DJI válasza akkor az volt, hogy ezekre a funkciókra biztonsági okokból volt szükség.

A mostani esetben is hasonlóak az aggodalmak és a cég válasza is. A DJI szerint a korábban említett funkciók már kikerültek az appból, és előzőleg sem bizonyított, hogy bármilyen visszaélés történt volna. Elmondásuk szerint az automatikus telepítő-funkcióra azért van szükség, hogy az app korábbi hibáit kihasználva ne lehessen kikapcsolni a drónok magasság-limiterét és geo-kerítés funkcióit. Ezek a funkciók egyébként azért kerültek beépítésre az eszközökbe, hogy azok képtelenek legyenek bizonyos magasságok fölé, illetve az Amerikai Repülési Szövetség által meghatározott ”no-go” zónákba berepülni.

A két biztonsági cég véleménye szerint a DJI Go 4 app működése nem sokban különbözik egy kártékony botnet vagy malware programtól. Mindkettőben közös, hogy egy beépített kód bármikor letölthet és futtahat előre meghatározott programot, továbbá ezt a funkciót elrejtő megoldások sem sokban különböznek egy támadóprogramtól. Az appnak ráadásul egy sor olyan hozzáférési engedélyt kell megadni, melyek túlzásnak tűnnek egy drónpilóta-program számára. A program hozzáférést kér a telefon

• kontaktlistájához,
• mikrofonjához,
• kamerájához,
• GPS adataihoz,
• tárhelyéhez, és
• a hálózati kapcsolat megváltoztatásához.

Ez azt jelentheti, hogy az engedélyek megadása esetén a kínai székhelyű cég ezekhez az adatokhoz szabadon hozzáférhet és használhatja. Amerikában az elmúlt időben jelentősen megnövekedett az ellenszenv a kínai fejlesztésű appokkal kapcsolatban, elég csak a TikTok botrányaira gondolnunk. A szakértők szerint ezek után nem megalapozatlan a félelem, hogy hasonló funkciók segítségével kínai hackerek akár teljesen átvegyék az irányítást a felhasználók telefonjai fölött. Ilyen esetben a felhasználót szinte teljes megfigyelés alá lehetne vonni és a telefon onnantól kezdve alkalmas lehet a vele közös hálózatot használt eszközök elleni támadások indítására is.

A DJI válaszában részletesen próbálta cáfolni az ellene felhozott vádakat:

• Az automatikus letöltési funkcióra azért van szükség, hogy a felhasználók mindig a szoftver legfrissebb, hivatalos verzióját használják. A nemhivatalos verziókból ugyanis esetenként eltávolításra kerülnek biztonsági funkciók, például a repülési magasság korlátozása.
• A beépített közösségi platform funkciókat a felhasználói élmény javítására és a megoszthatóság könnyítésére adták hozzá. Ez a funkció csak a felhasználó kifejezett utasítására indul el.
• Az app nem képes saját magát újraindítani, a szakértők által állított viselkedést a DJI fejlesztőinek nem sikerült megismételni.
• A felhozott sebezhetőségeket a cég inkább potenciális hibáknak nevezi. Kiemelik, hogy fut egy programjuk, melynek során az összes ilyen hibát igyekeznek mihamarabb kijavítani. A programban minden felhasználójuk részt vehet és egy-egy ilyen hiba bejelentéséért akár 30.000 USD jutalmat is kaphat. A cég kijelentette, hogy elkötelezett a hasonló hibák megtalálása és kijavítása iránt.
• A MobTech és Bugly komponensek már eltávolításra kerültek az appból, de a velük kapcsolatos sebezhetőségek kihasználásának bizonyítására továbbra sem került sor.
• A kormányhivataloknak gyártott eszközök nem a hagyományos módon közvetítenek adatot, szoftvereik frissítése is offline módon történik, ezért a korábban felhozott vádak erre a termékcsoportra nem vonatkozhatnak.
• A DJI számos tanulmányt felhoz arra vonatkozóan, hogy semmi nem bizonyítja, hogy az app által rögzített adatok továbbküldésre kerülnek a DJI-nek, Kínának, vagy bármilyen más harmadik félnek.

A cikk írásakor az DJI Go 4 még mindig megtalálható a Google Play Áruházban, de a szakértők azt javasolják, hogy legalább a Google belső vizsgálatának lezárulásáig a felhasználók legyenek óvatosan az appal kapcsolatban.