image

Onderzoekers waarschuwen voor smartphone-app dronefabrikant DJI

maandag 27 juli 2020, 14:54 door Redactie, 3 reacties

Verschillende beveiligingsonderzoekers waarschuwen voor de smartphone-app van dronefabrikant DJI. De app kan namelijk buiten de controle van de Google Play Store om updates en nieuwe software op toestellen installeren. Iets waarmee DJI de regels van de Google Play Store overtreedt. Daarnaast verzamelt de app persoonlijke data die niet voor het bedienen van drones is vereist, zo claimen de onderzoekers.

De dronefabrikant erkent het downloaden van software via de eigen servers en zegt dat het in de toekomst ook de optie voor downloads via de Google Play Store zal aanbieden. De onderdelen die onnodige persoonlijke gegevens verzamelen zijn al uit de app verwijderd. Volgens DJI is er dan ook sprake van "hypothetische kwetsbaarheden".

Onderzoekers van Synacktiv besloten naar de DJI GO 4-app te kijken. Met deze app is het mogelijk om drones via de eigen smartphone te besturen. Tijdens de analyse vinden de onderzoekers een automatische updatefunctie die buiten de Google Play Store om werkt. Iets wat tegen de regels van Google is. Het techbedrijf stelt dat apps die via de Play Store zijn gedownload alleen via het updatemechanisme van de Play Store mogen worden bijgewerkt.

"Gegeven de vele permissies die DJI Go vereist (toegang tot contacten, microfoon, camera, locatie, opslag, het veranderen van netwerkconnectiviteit, etc.) hebben DJI- of partnerservers volledige controle over de telefoon van gebruikers", aldus de onderzoekers van Synacktiv. Die stellen dat op deze manier de updates die DJI naar gebruikers uitrolt niet door Google zijn te controleren.

Verder blijkt de app gebruik te maken van het MobTech SDK-framework, waarmee een grote hoeveelheid data van het toestel wordt verzameld, waaronder IMSI, IMEI en serienummer van de sim-kaart. De onderzoekers adviseren dronegebruikers vanwege het mogelijk lekken van gevoelige data om voorzichtig te zijn met het gebruik van de app. Het gaat daarbij specifiek om de Android-versie van de app. De iOS-versie blijkt niet over de eerder genoemde updatefunctie te beschikken.

Onderzoekers van securitybedrijf Grimm bevestigen de bevindingen van Synacktiv. Ook zij waarschuwen voor de updatefunctie. "Die weet de Google Play Store volledig te omzeilen, waardoor de servers van DJI volledige controle over de gedownloade APK hebben, kwaadaardig of niet." Verder merken ze op dat de app gebruikmaakt van de Weibo SDK, die gebruikers kan vragen om willekeurige applicaties te installeren. Iets wat opnieuw in overtreding van de regels van Google is. Net als hun collega's van Synactiv waarschuwen de onderzoekers van Grimm om voorzichtig te zijn met de app. "Deze features zijn zorgwekkend en kunnen DJI of Weibo toegang tot de privégegevens van gebruikers geven of hen een doelwit voor verdere exploitatie maken."

In een reactie stelt DJI dat de updatefunctie van de app een belangrijke rol speelt. Wanneer de systemen van de dronefabrikant ontdekken dat de app is aangepast, bijvoorbeeld om geofencing of hoogtebeperkingen te omzeilen, worden gebruikers verplicht om de officiële versie via de DJI-website te downloaden. In de toekomst zal het ook mogelijk worden om dit via de Google Play Store te doen. Wat betreft het gebruik van de MobTech SDK is die inmiddels verwijderd en de Weibo SDK wordt alleen actief wanneer gebruikers die inschakelen, aldus de verklaring.

Reacties (3)
27-07-2020, 15:56 door Anoniem
“Met deze app is het mogelijk om drones via de eigen smartphone te besturen.”

Los van de Smart controller, die niet voor elke drone geschikt is, is dit de app die gebruikt wordt voor de aansturing / besturing van de drone.
28-07-2020, 07:51 door Anoniem
Gegeven de vele permissies die DJI Go vereist (toegang tot contacten, microfoon, camera, locatie, opslag, het veranderen van netwerkconnectiviteit, etc.) hebben DJI- of partnerservers volledige controle over de telefoon van gebruikers",
Zullen we eens kijken hoeveel apps er zijn die net zoveel rechten eisen maar waar niemand het over heeft? Ik vrees dat dit er honderden zijn en mogelijk nog veel meer die vergelijkbare rechten willen en deze zelf ongezien nemen. Wat wil je ook met een platform waarvan de beveiliging gatenkaas is en de gebruiker in feite niets te vertellen heeft over het eigen apparaat.
Op dit lekke platform worden wel allerlei financiële en zelfs medische apps gebruikt waarbij je jezelf moet afvragen in hoeverre het waarborgen van privacy überhaupt nog plaatsvindt als een service als Google Play volledige toegang heeft tot alles en uitzetten van een dergelijke service niet tot de mogelijkheden behoort.
28-07-2020, 09:47 door Anoniem
Het is oppassen geblazen met DJI. Het is een Chinees bedrijf dat wereldwijd met kop en schouders marktleider is in de markt voor goedkope commerciële drones. Het Pentagon heeft 2 jaar terug DJI in de ban gedaan vanwege zorgen om Chinese cyber security en spionage.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.