OprogramowanieTelefony

Wyprodukowana w Chinach aplikacja dronowa w Google Play spotyka badaczy bezpieczeństwa

Dron quadkoptera DJI Phantom 4.
Powiększać / Dron quadkoptera DJI Phantom 4.

Wersja DJI Go 4 na Androida – aplikacja, która pozwala użytkownikom kontrolować drony – do niedawna potajemnie gromadziła poufne dane użytkownika i może pobierać i uruchamiać kod wybrany przez programistów, naukowcy stwierdzili w dwóch raportach, które kwestionują bezpieczeństwo i wiarygodność program z ponad 1 milionem pobrań z Google Play.

Aplikacja służy do kontrolowania i gromadzenia danych wideo i lotów w czasie zbliżonym do rzeczywistego z dronów wyprodukowanych przez chińską firmę DJI, największego na świecie producenta komercyjnych dronów. Sklep Play pokazuje, że ma ponad milion pobrań, ale ze względu na sposób, w jaki Google ujawnia liczby, prawdziwa liczba może sięgać nawet 5 milionów. Aplikacja ma ocenę trzy i pół gwiazdki na pięć możliwych z ponad 52 000 użytkowników.

Szeroki wachlarz wrażliwych danych użytkownika

Dwa tygodnie temu firma zabezpieczająca Synacktive dokonała inżynierii wstecznej aplikacji. W czwartek inna firma ochroniarska Grimm opublikowała wyniki własnej niezależnej analizy. Jako minimum, obaj stwierdzili, że aplikacja omijała warunki Google i że do niedawna aplikacja potajemnie gromadziła szeroką gamę poufnych danych użytkowników i wysyłała je na serwery zlokalizowane w Chinach kontynentalnych. W najgorszym przypadku programiści nadużywają trudnych do zidentyfikowania funkcji do szpiegowania użytkowników.

Według doniesień podejrzane zachowania obejmują:

  • Możliwość pobrania i zainstalowania dowolnej aplikacji wybranej przez programistów za pomocą funkcji automatycznej aktualizacji lub dedykowanego instalatora w zestawie programistycznym dostarczonym przez chińską platformę mediów społecznościowych Weibo. Obie funkcje mogą pobierać kod poza Play, z naruszeniem warunków Google.
  • Niedawno usunięty komponent, który zebrał bogactwo danych telefonu, w tym IMEI, IMSI, nazwę operatora, numer seryjny karty SIM, informacje o karcie SD, język systemu operacyjnego, wersję jądra, rozmiar ekranu i jasność, nazwę sieci bezprzewodowej, adres i adresy MAC oraz Bluetooth. Te i inne szczegóły zostały przesłane do MobTech, producenta zestawu dla programistów używanego do ostatniego wydania aplikacji.
  • Automatycznie uruchamia się ponownie, gdy użytkownik przeciągnął aplikację, aby ją zamknąć. Ponowne uruchomienie powoduje, że aplikacja działa w tle i nadal wysyła żądania sieciowe.
  • Zaawansowane techniki zaciemniania, które powodują, że analiza aplikacji przez stronę trzecią jest czasochłonna.

Raporty z tego miesiąca pojawiają się trzy lata po tym, jak armia USA zakazała używania dronów DJI z powodów, które pozostają utajnione. W styczniu Departament Spraw Wewnętrznych uziemił drony DJI i innych chińskich producentów z obaw, dane mogą zostać wysłane z powrotem na kontynent.

Przedstawiciele DJI powiedzieli, że naukowcy odkryli „hipotetyczne luki” i żaden z raportów nie dostarczył dowodów na to, że zostały one kiedykolwiek wykorzystane.

„Funkcja aktualizacji aplikacji opisana w tych raportach służy bardzo ważnemu celowi bezpieczeństwa, jakim jest ograniczenie korzystania z zhakowanych aplikacji, które próbują obejść nasze funkcje geofencing lub ograniczenia wysokości” – napisali w oświadczeniu. Geofencing to wirtualna bariera, którą Federalna Administracja Lotnicza lub inne władze zabraniają przekraczać dronom. Drony używają GPS, Bluetooth i innych technologii do egzekwowania ograniczeń.

Rzecznik Google powiedział, że firma sprawdza raporty. Naukowcy stwierdzili, że wersja aplikacji na iOS nie zawierała mechanizmów zaciemniania ani aktualizacji.

Zamaskowany, przejęty i zawsze włączony

Naukowcy stwierdzili, że pod kilkoma względami DJI Go 4 na Androida naśladuje zachowanie botnetów i złośliwego oprogramowania. Na przykład zarówno komponenty do samodzielnej aktualizacji, jak i automatycznej instalacji, wywołują serwer wyznaczony przez programistę i czekają na polecenia, aby pobrać i zainstalować kod lub aplikacje. Techniki zaciemniania bardzo przypominały te stosowane przez złośliwe oprogramowanie, aby uniemożliwić naukowcom odkrycie jego prawdziwego celu. Inne podobieństwa to stały status i gromadzenie wrażliwych danych, które nie były istotne lub konieczne do deklarowanego celu latania dronami.

Bardziej niepokojący jest zakres uprawnień wymaganych do korzystania z aplikacji, które obejmują dostęp do kontaktów, mikrofonu, kamery, lokalizacji, pamięci oraz możliwość zmiany łączności sieciowej. Takie rozległe uprawnienia oznaczały, że serwery DJI lub Weibo, oba zlokalizowane w kraju znanym z hakowania szpiegowskiego sponsorowanego przez rząd, miały prawie pełną kontrolę nad urządzeniami użytkowników – stwierdzili naukowcy.

Oba zespoły badawcze stwierdziły, że nie widziały dowodów na to, że instalator aplikacji był kiedykolwiek używany, ale widzieli, że mechanizm automatycznej aktualizacji uruchamia się i pobierają nową wersję z serwera DJI i instalują ją. Adresy URL pobierania dla obu funkcji są generowane dynamicznie, co oznacza, że ​​są dostarczane przez serwer zdalny i można je zmienić w dowolnym momencie.

Badacze z obu firm przeprowadzili eksperymenty, które pokazały, jak oba mechanizmy można wykorzystać do instalowania dowolnych aplikacji. Chociaż programy były dostarczane automatycznie, badacze nadal musieli kliknąć przycisk zatwierdzenia, zanim programy mogły zostać zainstalowane.

Obydwa raporty z badań przestały mówić, że aplikacja faktycznie była skierowana do osób, a obydwa zauważyły, że zbieranie IMSI i innych danych zakończyło się wraz z wydaniem aktualnej wersji 4.3.36. Zespoły nie wykluczyły jednak możliwości niecnych zastosowań. Badacze Grimm napisali:

W najlepszym przypadku te funkcje są używane tylko do instalowania legalnych wersji aplikacji, które mogą być interesujące dla użytkownika, takich jak sugerowanie dodatkowych aplikacji DJI lub Weibo. W takim przypadku znacznie bardziej powszechną techniką jest wyświetlenie dodatkowej aplikacji w aplikacji Sklep Google Play poprzez połączenie z nią z poziomu aplikacji. Następnie, jeśli użytkownik zdecyduje, może zainstalować aplikację bezpośrednio ze sklepu Google Play. Podobnie, samoczynnie aktualizujące się komponenty mogą być używane tylko w celu zapewnienia użytkownikom najbardziej aktualnej wersji aplikacji. Można to jednak łatwiej osiągnąć za pośrednictwem sklepu Google Play.

W najgorszym przypadku funkcje te mogą być wykorzystywane do atakowania określonych użytkowników za pomocą złośliwych aktualizacji lub aplikacji, które mogłyby posłużyć do wykorzystania telefonu użytkownika. Biorąc pod uwagę ilość informacji użytkownika pobranych z jego urządzenia, DJI lub Weibo z łatwością byłyby w stanie zidentyfikować konkretne cele, które są interesujące. Następnym krokiem w wykorzystaniu tych celów byłoby zasugerowanie nowej aplikacji (za pośrednictwem Weibo SDK) lub zaktualizowanie aplikacji DJI za pomocą dostosowanej wersji zbudowanej specjalnie w celu wykorzystania ich urządzenia. Gdy ich urządzenie zostanie wykorzystane, może zostać wykorzystane do zbierania dodatkowych informacji z telefonu, śledzenia użytkownika za pomocą różnych czujników telefonu lub jako trampolina do ataku na inne urządzenia w sieci Wi-Fi telefonu. Ten system celowania pozwoliłby napastnikowi na znacznie bardziej ukradkowe wykorzystywanie, a nie znacznie głośniejsze techniki, takie jak wykorzystanie wszystkich urządzeń odwiedzających witrynę.

DJI odpowiada

Przedstawiciele DJI opublikowali wyczerpującą i energiczną odpowiedź, w której stwierdzono, że wszystkie funkcje i komponenty wyszczególnione w raportach służyły uzasadnionym celom lub zostały jednostronnie usunięte i nie były wykorzystywane złośliwie.

„Projektujemy nasze systemy tak, aby klienci DJI mieli pełną kontrolę nad tym, jak lub czy udostępniać swoje zdjęcia, filmy i dzienniki lotów, a także wspieramy tworzenie standardów branżowych w zakresie bezpieczeństwa danych z dronów, które zapewnią ochronę i zaufanie wszystkim użytkownikom dronów”, oświadczenie powiedział. Zapewnił następującą dyskusję punkt po punkcie:

  • Kiedy nasze systemy wykryją, że aplikacja DJI nie jest oficjalną wersją – na przykład, jeśli została zmodyfikowana w celu usunięcia krytycznych funkcji bezpieczeństwa lotu, takich jak geofencing lub ograniczenia wysokości – powiadamiamy użytkownika i wymagamy, aby pobrał najnowszą oficjalną wersję aplikacji app z naszej strony internetowej. W przyszłych wersjach użytkownicy będą mogli również pobrać oficjalną wersję z Google Play, jeśli jest dostępna w ich kraju. Jeśli użytkownicy nie wyrażą na to zgody, ich nieautoryzowana (zhakowana) wersja aplikacji zostanie wyłączona ze względów bezpieczeństwa.
  • Nieautoryzowane modyfikacje aplikacji kontrolnych DJI budziły w przeszłości obawy, a ta technika ma na celu zapewnienie, że nasze kompleksowe środki bezpieczeństwa w przestrzeni powietrznej są konsekwentnie stosowane.
  • Ponieważ nasi klienci rekreacyjni często chcą udostępniać swoje zdjęcia i filmy znajomym i rodzinie w mediach społecznościowych, DJI integruje nasze aplikacje konsumenckie z wiodącymi serwisami społecznościowymi za pośrednictwem ich natywnych SDK. Musimy kierować pytania dotyczące bezpieczeństwa tych SDK do odpowiednich serwisów społecznościowych. Należy jednak pamiętać, że pakiet SDK jest używany tylko wtedy, gdy nasi użytkownicy aktywnie go włączają.
  • DJI GO 4 nie może się zrestartować bez udziału użytkownika, a my badamy, dlaczego ci badacze twierdzą, że tak. Do tej pory nie byliśmy w stanie odtworzyć tego zachowania w naszych testach.
  • Hipotetyczne luki w zabezpieczeniach opisane w tych raportach najlepiej scharakteryzować jako potencjalne błędy, które aktywnie staraliśmy się zidentyfikować w ramach naszego programu Bug Bounty, w ramach którego badacze bezpieczeństwa odpowiedzialnie ujawniają wykryte problemy bezpieczeństwa w zamian za płatności w wysokości do 30 000 USD. Ponieważ wszystkie aplikacje do sterowania lotem DJI są zaprojektowane do pracy w dowolnym kraju, byliśmy w stanie ulepszyć nasze oprogramowanie dzięki wkładowi naukowców z całego świata, jak widać na tej liście.
  • Komponenty MobTech i Bugly zidentyfikowane w tych raportach zostały wcześniej usunięte z aplikacji kontroli lotów DJI po tym, jak wcześniejsi badacze zidentyfikowali w nich potencjalne luki w zabezpieczeniach. Ponownie, nie ma dowodów na to, że były one kiedykolwiek wykorzystywane i nie były używane w systemach kontroli lotów DJI dla klientów rządowych i profesjonalnych.
  • Aplikacja DJI GO4 służy przede wszystkim do sterowania naszymi dronami rekreacyjnymi. Drony DJI zaprojektowane dla agencji rządowych nie przesyłają danych do DJI i są kompatybilne tylko z niekomercyjnie dostępną wersją aplikacji DJI Pilot. Oprogramowanie tych dronów jest aktualizowane wyłącznie w trybie offline, co oznacza, że ​​niniejszy raport nie dotyczy dronów przeznaczonych do wrażliwych zastosowań rządowych. Niedawny raport bezpieczeństwa Booz Allena Hamiltona przeprowadził audyt tych systemów i nie znalazł dowodów na to, że dane lub informacje zebrane przez te drony są przesyłane do DJI, Chin lub jakiejkolwiek innej nieoczekiwanej strony.
  • To jest tylko ostatnia niezależna weryfikacja bezpieczeństwa produktów DJI po recenzjach amerykańskiej National Oceanic and Atmospheric Administration, amerykańskiej firmy zajmującej się bezpieczeństwem cybernetycznym Kivu Consulting, amerykańskiego Departamentu Spraw Wewnętrznych i amerykańskiego Departamentu Bezpieczeństwa Wewnętrznego.
  • DJI od dawna wzywa do stworzenia standardów branżowych w zakresie bezpieczeństwa danych z dronów, procesu, który, mamy nadzieję, będzie nadal zapewniał odpowiednią ochronę użytkownikom dronów z obawami dotyczącymi bezpieczeństwa. Jeśli tego typu cecha, mająca na celu zapewnienie bezpieczeństwa, budzi obawy, powinna zostać uwzględniona w obiektywnych standardach, które mogą zostać określone przez klientów. DJI zobowiązuje się do ochrony danych użytkowników dronów, dlatego projektujemy nasze systemy, aby użytkownicy dronów mieli kontrolę nad tym, czy udostępniają nam jakiekolwiek dane. Jesteśmy również zaangażowani w bezpieczeństwo, starając się wnosić rozwiązania technologiczne, aby zapewnić bezpieczeństwo przestrzeni powietrznej.

Nie zapomnij o bałaganie w aplikacji na Androida

Badania i reakcja DJI podkreślają chaos obecnego systemu zakupów aplikacji Google. Nieskuteczna weryfikacja, brak szczegółowości uprawnień w starszych wersjach Androida oraz otwartość systemu operacyjnego ułatwiają publikowanie złośliwych aplikacji w Sklepie Play. Te same rzeczy ułatwiają również mylenie legalnych funkcji ze złośliwymi.

Osoby, które mają zainstalowaną aplikację DJI Go 4 na Androida, mogą chcieć ją usunąć przynajmniej do czasu ogłoszenia przez Google wyników dochodzenia (zgłoszone zachowanie automatycznego restartu oznacza, że ​​na razie nie wystarczy po prostu ograniczyć korzystanie z aplikacji). Ostatecznie użytkownicy aplikacji znajdują się w podobnej sytuacji, co TikTok, co również wzbudziło podejrzenia, zarówno z powodu pewnych zachowań uważanych przez niektórych za szkicowe, jak i ze względu na jego własność przez chińską firmę ByteDance.

Nie ma wątpliwości, że wiele aplikacji na Androida bez powiązań z Chinami popełnia podobne lub gorsze wykroczenia niż te przypisywane DJI Go 4 i TikTok. Osoby, które chcą się mylić po stronie bezpieczeństwa, powinny omijać większość z nich.

1 komentarz

Zostaw komentarz

Maciek Luboński
Z wykształcenia jestem kucharzem , ale to nie przeszkadza mi pisać dla Was tekstów z wielu ciekawych dziedzin , których sam jestem fanem.Piszę dużo i często nie na tak jak trzeba , ale co z tego skoro tak naprawdę liczy się pasja.

Najlepsze recenzje

Video

gallery

Facebook