Dėl atnaujinimo mechanizmo, kuris nepasiduoda „Google Play Store“ kontrolei, į kiekvieną išmanųjį telefoną, kuriame yra tokia programėlė, galima įdiegti piktybiniais tikslais veikiančią programinę įrangą ar į DJI tarnybines stotis persiųsti jautrią asmeninę informaciją.
Dvi labai panašias, nepriklausomai surašytas saugumo ataskaitas pateikė kibernetinio saugumo bendrovės „Synacktiv“ ir GRIMM. Nustatyta, kad programėlė „DJI Go-4“, skirta „Android“ įrenginiams, ne tik prašo labai gausaus prieigos prie asmeninės informacijos leidimų sąrašo (prašo IMSI, IMEI, SIM kortelės serijinio numerio), bet ir naudoja įvairius šifravimo ir „anti-debuginimo“ metodus, kurie reikalingi siekiant išvengti saugumo tikrintojų dėmesio.
„Tokie mechanizmai yra labai panašūs į tuos, kurie įdiegiami piktybinės paskirties valdymo ir kontrolės serveriuose“, – nurodoma „Synacktiv“ ataskaitoje.
Įvertinus didžiulį „DJI Go-4“ suteikiamų leidimų spektrą – prieigą prie kontaktų, mikrofono, kameros buvimo vietos, duomenų saugyklos, galimybės pakeisti prisijungimo prie tinklo būdą – DJI arba „Weibo“ serveriai Kinijoje turi iš esmės visapusę vartotojo telefono valdymo galimybę.
„Play Store“ statistiniai duomenys nurodo, kad „DJI Go-4“ yra įdiegta daugiau nei milijoną kartų. Įdomu tai, kad „Android“ programėlės saugumo trūkumų nėra „iOS“ sistemai skirtoje programėlės versijoje – nei jos kodas yra šifruotas, nei joje yra paslėptas, aplinkkeliais vykdomas atnaujinimo procesas.
Įtartinas atnaujinimo mechanizmas
GRIMM nurodo, kad tyrimą atliko dėl to, kad neįvardinta gynybos pramonės ir visuomenės saugumo technologijų bendrovė užsakė saugumo auditą. Šiai bendrovei kilo poreikis „ištirti DJI dronų, valdomų su „DJI Go-4“ programėle, privatumo implikacijas“.
„Synacktiv“, programėlę nagrinėję atvirkštinės inžinerijos keliu, nurodė, kad aptiko interneto adresą („hxxps://service-adhoc.dji.com/app/upgrade/public/check“), per kurį atsisiunčiamas programėlės atnaujinimas, o vartotojo paprašoma suteikti leidimą „Įdiegti nežinomas programėles“.
„Modifikavome tą užklausą taip, kad ji inicijuotų priverstinį atnaujinimą kitai programėlei – dėl to vartotojui pirmiausiai buvo pateiktas prašymas leisti nepatikimų programėlių įdiegimą, o tuomet jam buvo uždrausta naudotis programėle iki tol, kol nebuvo įdiegtas naujinys“, – nurodė tyrėjai.
Tokia programėlės atnaujinimo praktika yra ne šiaip tiesioginis ir akivaizdus „Google Play Store“ gairių pažeidimas – ji suteikia neįtikėtinai plačias galimybes programėlės kūrėjams. Iš esmės, piktybinių užmačių turintis tokios programėlės valdytojas gali užkrėsti visus telefonus, kuriuose yra ši programėlė, bet kokia piktybinės paskirties programa.
Dar labiau susirūpinimą kelia tai, kad net tuomet, kai programėlė, kiek matoma įprastam vartotojui, būna išjungiama, iš tiesų ji veikia fone ir pasinaudoja galimybe per „Weibo SDK“ („com.sina.weibo.sdk“) įdiegti pagal gamintojo nurodymą atsisiųstą programėlę, kuri tokią galimybę pasirinkusiems vartotojams įjungia drono vaizdo įrašo tiesioginę transliaciją per „Weibo“ tarnybines stotis. GRIMM nurodė, kad nerado jokių įrodymų, jog tokia techninė galimybė jau būtų išnaudojama kokių nors piktybinių programėlių įdiegimui.
Taip pat auditą atlikusios saugumo bendrovės nurodė, kad „DJI Go-4“ naudoja „MobTech“ programavimo įrankius, per kuriuos „siurbia“ metaduomenis apie telefoną – jo ekrano dydį, ekrano ryškumą, WLAN adresą, MAC adresą, BSSID kodus, „Bluetooth“ adresus, IMEI ir IMSI skaičius, ryšio operatoriaus pavadinimą, SIM kortelės numerį, SD duomenų kortelės informaciją, operacinės sistemos branduolio versiją, buvimo vietos informaciją.
DJI ginasi: viskas normalu
Programėlės savininkai – įmonė DJI – tikina, jog viskas, ką atrado saugumo tyrėjai, yra „įprastiniai susirūpinimai dėl programinės įrangos saugumo“ ir tvirtino, jog audito rezultatai prieštarauja „JAV Nacionalinio saugumo departamento, Boozo Alleno Hamiltono ir kitoms ataskaitoms, kurios nerado jokių įrodymų, kad vyktų koks nors nenumatytas duomenų perdavimo prisijungimas iš DJI pusės prie programėlių, skirtų vyriausybiniams ar verslo klientams“.
„Nėra jokių įrodymų, kad tomis programėlėmis kada nors buvo piktnaudžiauta, be to, jos nebuvo naudotos DJI skrydžių valdymo sistemose, skirtose vyriausybiniams ar verslo klientams“, nurodė bendrovės atstovai, pridūrę, kad nesugebėjo atkartoti programėlės savaiminio persikrovimo, apie kurį nurodoma saugumo bendrovių ataskaitoje.
„Ateities versijose vartotojams taip pat bus suteikta galimybė atsisiųsti oficialią programėlės versiją iš „Google Play“, jeigu nebus tą draudžiančių regioninių ribojimų. Jeigu vartotojai nesutiks tokios programėlės atsisiųsti, jų neautorizuota („nulaužta“) programėlės versija bus išjungta saugumo sumetimais“, nurodo įmonės atstovai.
DJI yra pats didžiausias pasaulyje komercinių bepiločių orlaivių gamintojas. Ši bendrovė, kaip ir daugelis kitų Kinijos įmonių, sulaukia vis daugiau įtarimų dėl kibernetinio saugumo. Pavyzdžiui, JAV Vidaus reikalų departamentas šių metų sausį atsisakė savo DJI dronų flotilės.
Pernai gegužę JAV Nacionalinio saugumo departamentas įspėjo šalies įmones, kad jei jos naudos komercinius dronus pagamintus Kinijoje, kyla grėsmė prarasti svarbius duomenis, šie gali atsidurti už serverio, prieinamo tik tai įmonei, ribų.
„Iš šio sprendimo akivaizdu, kad JAV vyriausybės susirūpinimas dėl DJI dronų, sudarančių santykinai nedidelę dalį Vidaus reikalų departamento dronų flotilės, yra menkai susijęs su kibernetiniu saugumu ir yra politiškai motyvuotos dienotvarkės dalis, kurios tikslas yra sumažinti konkurencingumą rinkoje ir suteikti pirmenybę vietinių gamintojų dronams, nepriklausomai nuo jų galimybių“, – dar sausį prieš juos nukreiptus veiksmus kritikavo DJI.