TL;DR
- Dos empresas de seguridad independientes afirman que la aplicación DJI Go 4 incluye múltiples funciones sospechosas.
- Como mínimo, la aplicación viola algunas de las políticas de Play Retailer de Google.
- DJI emitió un extenso comunicado en el que refuta muchas de las afirmaciones.
Actualización: 27 de julio de 2020 a las 5:30 p.m. ET: ¡Tenemos más que decir! Nuestro gurú residente de drones, Jonathan Feist, intervino sobre la historia de seguridad de DJI en nuestro sitio internet hermano. Fiebre de drones. Asegúrese de leer el artículo completo para obtener más información. en dronerush.com.
Alerta de spoiler: las cosas no están tan mal como parecen.
Artículo authentic: 24 de julio de 2020 a la 1 p.m. ET: Uno de los más populares aplicaciones de drones en Google Play Retailer incluye algunas características de backend preocupantes, según dos informes independientes captados por Ars Técnica. Después de aplicar ingeniería inversa a Aplicación DJI Go 4empresas de seguridad sináctico y Grimm descubrió que, en el mejor de los casos, el software program viola las políticas de Play Retailer de Google y, en el peor de los casos, podría haberse utilizado para espiar a los usuarios de la empresa. DJI es una de las empresas comerciales más grandes y exitosas del mundo. zumbido fabricantes. Basado en información disponible públicamente Métricas de Play Retailerla aplicación DJI Go 4 tiene al menos 1 millón de instalaciones y hasta 5 millones.
Uno de los aspectos más sospechosos de la aplicación es que puede instalar cualquier aplicación en el dispositivo del usuario a través de una función de actualización automática o de un instalador dedicado proporcionado por el gigante chino de redes sociales Weibo. Ambos podrían descargar código desde fuera de Play Retailer, un aspecto de su diseño que viola directamente las normas de Google. políticas.
Además, una versión anterior de la aplicación incluía un componente que recopilaba y enviaba diversos datos confidenciales a MobTech, un desarrollador de SDK con sede en China continental. Parte de la información a la que tuvo acceso la función fue el IMEI del teléfono, el número de serie de la SIM, la información de la tarjeta SD, las direcciones de Bluetooth y más. DJI eliminó esa funcionalidad con el lanzamiento más reciente de la aplicación DJI Go 4.
Lea también: Los mejores drones que puedes comprar
Por último, los investigadores alegan que la aplicación puede reiniciarse automáticamente cada vez que deslizas el dedo hacia arriba para cerrarla, lo que le permite continuar ejecutándose en segundo plano y realizar solicitudes de crimson.
Un portavoz de DJI dijo Ars Técnica lo que los investigadores encontraron fueron “vulnerabilidades hipotéticas” sin proporcionar evidencia de que alguna vez hayan sido explotadas.
“La función de actualización de la aplicación descrita en estos informes cumple el importante objetivo de seguridad de mitigar el uso de aplicaciones pirateadas que buscan anular nuestras funciones de geofencing o limitación de altitud”, dijo un portavoz de la compañía. Geofencing es una función de software program que las autoridades como el Administración Federal de Aviación (FAA) para evitar que las personas vuelen sus drones en espacio aéreo restringido. Posteriormente, DJI publicó un artículo más declaración extensa en el que intenta abordar muchas de las preocupaciones planteadas por los informes. Le instamos a leer esa declaración completa antes de preocuparse demasiado.
En explicit, la compañía afirma que su aplicación no se reinicia sin la intervención de los usuarios. “Hasta ahora no hemos podido replicar este comportamiento en nuestras pruebas”, dijo DJI. También afirmó que recientemente eliminó los componentes MobTech y Bugly que la aplicación presentaba anteriormente después de que un informe anterior encontró problemas con esos SDK.
Google, por su parte, dijo que está investigando los informes.
La cuestión aquí es multifacética. Un problema importante es que las empresas de software program frecuentemente no hacen un trabajo suficientemente exhaustivo al examinar los SDK que aprovechan para desarrollar sus aplicaciones. Por ejemplo, Fb recientemente presentó una demanda federal contra una empresa que desarrolló un SDK que potencialmente comprometió los datos de 9,5 millones de usuarios. La naturaleza abierta de Android y la frecuente automatización de la mayoría de los procedimientos de investigación por parte de Google significan que las aplicaciones que eluden las políticas de Play Retailer de la compañía pueden pasar desapercibidas fácilmente.
Relacionado: Cómo proteger tu privacidad usando Android
Si posee un dron DJI y le preocupa su privacidad, lo mejor que puede hacer es desinstalar la aplicación DJI Go 4 hasta que Google full su investigación. Si Google encuentra algo alarmante, nos aseguraremos de actualizar este artículo con los detalles que necesita saber.
