Специалисты по цифровой безопасности из США и Европы провели расследование и обнаружили уязвимость в приложении, с помощью которого осуществляется управление летающими дронами китайской компании Da Jiang Innovations (DJI). Последняя, к слову, является крупнейшим мировым производителем подобной техники.
Эксперты из французской фирмы Synacktiv и американской GRIMM подготовили отчёты, в которых говорится, что приложение DJI Go для мобильной операционной системы Android, использующееся для управления дронами DJI, собирает личную информацию владельцев. Впоследствии эти данные могут быть использованы правительством Китая.
Специалисты отмечают, что проблема заключается не только в сборе информации. Указывается, что DJI может обновлять своё приложение в обход компании Google, которая обычно проводит проверку всех изменений, перед тем как они попадают в Play Маркет. Таким образом DJI может нарушать соглашение Google для разработчиков приложений, отмечают исследователи. Для пользователя вносимые в ПО изменения определить сложно. Однако, даже если приложение не активно, оно находится в режиме ожидания команд от удалённого сервера, отмечают эксперты.
«Телефон имеет доступ ко всему, что делает дрон, однако информация, о которой мы говорим, это информация о самом телефоне. Мы не понимаем, зачем DJI нужен доступ к этим данным», — комментирует инженер компании Synacktiv Тифани Романд-Латапи (Tiphaine Romand-Latapie).
В то же время специалист добавляет, что не может назвать эту уязвимость в безопасности настоящим бэкдором для хакеров, позволяющим получить доступ к телефону владельца дрона. Представители DJI в свою очередь заявили, что используют такой метод обновления приложения для того, чтобы энтузиасты не могли его взломать, переделать и использовать в обход правительственных нормативов, ограничивающих дальность и высоту полётов дронов.
«Это мера безопасности, использующаяся в одном из наших Android-приложений для управления дронами, предотвращает возможность использования взломанной версии приложения для обхода наших функций безопасности, таких как максимальная высота и геофенсинг», — заявил представитель компании DJI Брендан Шульман (Brendan Schulman).
По его словам, если система обнаруживает взлом приложения, пользователя сразу же направляют на официальный сайт компании, где он может загрузить официальную версию программного обеспечения. Представитель компании также добавил, что такая особенность отсутствует в программных продуктах, которые используется корпоративными клиентами и государственными структурами.
Компания Google собирается изучить отчёты, предоставленные специалистами по цифровой безопасности. Эксперты из Synacktiv в свою очередь отмечают, что не обнаружили аналогичных особенностей обновления приложения в китайском App Store для устройств, работающих на базе операционной системы iOS от Apple.
Эксперты предполагают, что метод обновления Android-приложения, где пользователя направляют на сайт производителя дронов, вероятнее всего, связан с тем, что правительство Китая блокирует Google и его сервисы на территории страны. Таким образом разработчиков приложений в буквальном смысле вынуждают самостоятельно решать вопрос с их обновлениями.
По данным издания The New York Times, расследование специалистов проводилось по заказу третьих сторон. Своих клиентов эксперты в безопасности не называют, но указывают, что в прошлом они сотрудничали с различными аэрокосмическими компаниями, а также другими производителями дронов, которые могут быть потенциальными конкурентами DJI.
Китайский производитель дронов DJI, как и многие другие успешные производители из Поднебесной, на фоне продолжающейся торговой войны между США и Китаем, уже давно привлекают повышенное внимание американского правительства. Например, запрет на использование дронов DJI своими сотрудниками наложил Пентагон. В январе этого года Министерство внутренних дел США (Department of the Interior, DOI) отказалось от использования продуктов китайского производителя из-за опасения по поводу их безопасности. В течение нескольких месяцев американские чиновники выступали с заявлениями о возможном использовании технических недостатков радиоуправляемых летающих устройств китайского производителя правительством Пекина. На федеральном уровне их использование действительно запретили, однако местные власти таких поправок в свои регулирующие документы не вносили.
«Каждая китайская технологическая компания, согласно китайскому закону, обязана по требованию правительства предоставить любую информацию, которую она получает от пользователей и хранит у себя», — говорит руководитель Национального центра по контрразведке и безопасности (National Counterintelligence Executive, NCIX).
Компания DJI в свою очередь заявила, что принятые американской стороной решения мотивированы политикой, а не возможной уязвимостью их программного обеспечения.