1. Новости
Заметки пользователей
27.07.2020 08:10
877
0
27.07.2020 08:10
PDF
877
0

Производитель дронов DJI собирает пользовательские данные

Автор: Syzygy

Фирменное приложение  компании для управления дронами обладает скрытыми функциями обновления, собирает не нужные для работы данные и поддерживает постоянную связь с серверами. К таким выводам пришла французская компания Synacktiv, занимающая вопросами кибербезопасности. Специалисты компании провели реверс-инжиниринг приложения DJI ANDROID GO 4, с помощью которого происходит управления дронами DJI. В ходе проверки было выявлено несколько фактов, которые значительно повышают риски утечки и неправомерного использования пользовательских данных:

  • Приложение DJI GO 4, вопреки заявлениям разработчиков, использует методы скрытия исходного кода и принципов работы, которые обычно применяются вредоносными программами;
  • Приложение находится на постоянной связи с серверами компаниями, ожидая команды на принудительное обновление или установку нового программного обеспечения. Метод, используемый DJI, позволяет обойти стандартные способы установки приложений Google и установить APK-файл, не проверенный механизмами Google Store;
  • Встроенный компонент  MobTech собирает персональную информацию о смартфоне и пользователе, включая IMSI (International Mobile Subscriber Identity), IMEI, серийный номер SIM-карты и другие. Такие данные не требуются для управления полётом дрона и нарушают собственную политики конфиденциальности DJI;
  • Приложение не закрывается стандартным методом сдвига вправо, продолжая работать в фоновом режиме и делая сетевые запросы;

При этом само приложение требует от пользователя доступ практически ко всем функциям смартфона (звонки, видео, звук, сетевое подключение). Потенциально это означает, что с серверов, на которые обращается DJI, можно управлять устройством пользователя.

В связи с этим Synacktiv не рекомендует использовать фирменное приложение в сферах, где необходимо обеспечение хотя бы минимального уровня безопасности.

0 комментариев
Оставлять комментарии могут только авторизованные пользователи