[Информационная безопасность, IT-компании] Исследователи безопасности обнаружили подозрительные функции в Android-приложении DJI

Автор Сообщение
news_bot ®

Стаж: 6 лет 9 месяцев
Сообщений: 27286

Создавать темы news_bot ® написал(а)
28-Июл-2020 19:32

Приложение DJI Go 4 для Android, созданное для управления дронами DJI, собирало данные пользователей и могло загружать и устанавливать посторонние программы. К такому выводу пришли два независимых исследования.Приложение используется для съёмки видео с дронов DJI, крупнейшего в мире производителя коммерческих беспилотников. Число загрузок приложения в Play Store превышает 1 млн. В июле сразу две фирмы по информационной безопасности — Synacktiv и Grimm — опубликовали результаты исследований приложения. Обе компании выяснили, что приложение, как минимум, нарушало правила Google и до недавнего времени собирало множество конфиденциальных пользовательских данных и отправляло их на серверы, расположенные в Китае. Специалисты подозревают, что приложение может шпионить за пользователями.Согласно сообщениям экспертов, приложение могло самостоятельно устанавливать и загружать сторонние программы вне Google Play благодаря функции обновления. Один из компонентов приложения собирал такую информацию, как IMEI, IMSI, имя оператора, серийный номер SIM-карты, информация об SD-карте, язык ОС, версия ядра, размер и яркость экрана, а также адреса Bluetooth. Приложение самостоятельно перезапускалось после выключения и работало в фоновом режиме. Кроме того, приложение требовало доступа к контактам, микрофону, камере, а также возможности менять сетевое подключение. По мнению исследователей, такое количество разрешений означало, что серверы DJI «почти полностью контролировали пользовательские устройства».Представители DJI, в свою очередь, заявили, что исследователи обнаружили «гипотетические уязвимости», и что ни в одном из отчетов не было представлено никаких доказательств того, что эти уязвимости когда-либо подвергались эксплуатации. Они также заявили, что все функции и компоненты, описанные в отчетах, либо служили законным целям, либо были удалены в одностороннем порядке и не использовались злонамеренно.«Гипотетические уязвимости, изложенные в этих отчетах, лучше всего характеризуются как потенциальные ошибки, которые мы активно пытались выявить с помощью нашей программы Bug Bounty. Некоторые компоненты, указанные в отчетах, ранее были удалены из приложений управления дронами DJI после выявления в них потенциальных недостатков безопасности. Опять же, нет никаких доказательств того, что их когда-либо эксплуатировали».В DJI также подчеркнули, что дроны DJI, разработанные для государственных учреждений, не передают данные в DJI и совместимы только с некоммерческой версией приложения DJI Pilot. Программное обеспечение для этих дронов обновляется только в автономном режиме, что означает, что отчёт Grimm и Synacktiv не имеет к ним отношения. «Специалисты компании Booz Allen Hamilton провели аудит этих систем и не обнаружили никаких доказательств того, что данные, которые собираются этими дронами, передаются DJI, в Китай или любой другой третьей стороне. Ранее продукты DJI подвергались проверкам Национального управления океанических и атмосферных исследований, американской компании по кибербезопасности Kivu Consulting, Министерства внутренних дел США и Министерства внутренней безопасности США», — заявили в компании.Google отметила, что пока изучает оба отчёта. При этом версия приложения для iOS не содержит никаких сомнительных механизмов. Как указывает ArsTechnica, исследование в отношении DJI подчеркивает дезорганизацию нынешней системы приложений Google. «Неэффективная проверка, отсутствие детализации разрешений в старых версиях Android и открытость операционной системы облегчают публикацию вредоносных приложений в Play Store», — заключает издание.
===========
Источник:
habr.com
===========

Похожие новости: Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_itkompanii (IT-компании), #_dji, #_drony (дроны), #_bespilotniki (беспилотники), #_informatsionnaja_bezopasnost (информационная безопасность), #_informatsionnaja_bezopasnost (
Информационная безопасность
)
, #_itkompanii (
IT-компании
)
Профиль  ЛС 
Показать сообщения:     

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы

Текущее время: 23-Ноя 00:21
Часовой пояс: UTC + 5