[Информационная безопасность, IT-компании] Исследователи безопасности обнаружили подозрительные функции в Android-приложении DJI
Автор
Сообщение
news_bot ®
Стаж: 6 лет 3 месяца
Сообщений: 27286
Приложение DJI Go 4 для Android, созданное для управления дронами DJI, собирало данные пользователей и могло загружать и устанавливать посторонние программы. К такому выводу пришли два независимых исследования.Приложение используется для съёмки видео с дронов DJI, крупнейшего в мире производителя коммерческих беспилотников. Число загрузок приложения в Play Store превышает 1 млн. В июле сразу две фирмы по информационной безопасности — Synacktiv и Grimm — опубликовали результаты исследований приложения. Обе компании выяснили, что приложение, как минимум, нарушало правила Google и до недавнего времени собирало множество конфиденциальных пользовательских данных и отправляло их на серверы, расположенные в Китае. Специалисты подозревают, что приложение может шпионить за пользователями.Согласно сообщениям экспертов, приложение могло самостоятельно устанавливать и загружать сторонние программы вне Google Play благодаря функции обновления. Один из компонентов приложения собирал такую информацию, как IMEI, IMSI, имя оператора, серийный номер SIM-карты, информация об SD-карте, язык ОС, версия ядра, размер и яркость экрана, а также адреса Bluetooth. Приложение самостоятельно перезапускалось после выключения и работало в фоновом режиме. Кроме того, приложение требовало доступа к контактам, микрофону, камере, а также возможности менять сетевое подключение. По мнению исследователей, такое количество разрешений означало, что серверы DJI «почти полностью контролировали пользовательские устройства».Представители DJI, в свою очередь, заявили, что исследователи обнаружили «гипотетические уязвимости», и что ни в одном из отчетов не было представлено никаких доказательств того, что эти уязвимости когда-либо подвергались эксплуатации. Они также заявили, что все функции и компоненты, описанные в отчетах, либо служили законным целям, либо были удалены в одностороннем порядке и не использовались злонамеренно.«Гипотетические уязвимости, изложенные в этих отчетах, лучше всего характеризуются как потенциальные ошибки, которые мы активно пытались выявить с помощью нашей программы Bug Bounty. Некоторые компоненты, указанные в отчетах, ранее были удалены из приложений управления дронами DJI после выявления в них потенциальных недостатков безопасности. Опять же, нет никаких доказательств того, что их когда-либо эксплуатировали».В DJI также подчеркнули, что дроны DJI, разработанные для государственных учреждений, не передают данные в DJI и совместимы только с некоммерческой версией приложения DJI Pilot. Программное обеспечение для этих дронов обновляется только в автономном режиме, что означает, что отчёт Grimm и Synacktiv не имеет к ним отношения. «Специалисты компании Booz Allen Hamilton провели аудит этих систем и не обнаружили никаких доказательств того, что данные, которые собираются этими дронами, передаются DJI, в Китай или любой другой третьей стороне. Ранее продукты DJI подвергались проверкам Национального управления океанических и атмосферных исследований, американской компании по кибербезопасности Kivu Consulting, Министерства внутренних дел США и Министерства внутренней безопасности США», — заявили в компании.Google отметила, что пока изучает оба отчёта. При этом версия приложения для iOS не содержит никаких сомнительных механизмов. Как указывает ArsTechnica, исследование в отношении DJI подчеркивает дезорганизацию нынешней системы приложений Google. «Неэффективная проверка, отсутствие детализации разрешений в старых версиях Android и открытость операционной системы облегчают публикацию вредоносных приложений в Play Store», — заключает издание.
===========
Источник:
habr.com
===========
Похожие новости:
- [IT-компании] Яндекс принудительно устанавливает неудаляемый «Яндекс.Телемост» в другие свои программы на компьютере пользователя
- [IT-компании] В Google всем разрешили работать удалённо ещё год
- [IT-компании, Законодательство в IT] Facebook в суде обвиняет Евросоюз во вторжении в частную жизнь сотрудников
- [Информационная безопасность, Системное администрирование, IT-инфраструктура, Git, DevOps] Аутентификация и чтение секретов в HashiCorp's Vault через GitLab CI (перевод)
- [Гаджеты, Информационная безопасность, Носимая электроника, Умный дом] Garmin подтвердила факт кибератаки и вернула к жизни часть сервисов
- [Информационная безопасность, SCADA] Азбука SOC OT. Почему классический SOC не защитит АСУ ТП
- [Информационная безопасность, История IT, Интервью, IT-компании] Как безопасники боролись с мамонтами, или ИТ- и ИБ 25 лет назад и сейчас
- [Информационная безопасность, Киберпанк] Random
- [CAD/CAM, IT-компании] 118 обучающих уроков для проектировщиков. Как это было
- [IT-инфраструктура, IT-компании, Облачные вычисления, Серверное администрирование] Модель managed IT как альтернатива аутсорсингу и аутстаффингу. Опыт сервис-провайдера
Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_itkompanii (IT-компании), #_dji, #_drony (дроны), #_bespilotniki (беспилотники), #_informatsionnaja_bezopasnost (информационная безопасность), #_informatsionnaja_bezopasnost (
Информационная безопасность
), #_itkompanii (
IT-компании
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 08-Май 00:39
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 3 месяца |
|
|
Приложение DJI Go 4 для Android, созданное для управления дронами DJI, собирало данные пользователей и могло загружать и устанавливать посторонние программы. К такому выводу пришли два независимых исследования.Приложение используется для съёмки видео с дронов DJI, крупнейшего в мире производителя коммерческих беспилотников. Число загрузок приложения в Play Store превышает 1 млн. В июле сразу две фирмы по информационной безопасности — Synacktiv и Grimm — опубликовали результаты исследований приложения. Обе компании выяснили, что приложение, как минимум, нарушало правила Google и до недавнего времени собирало множество конфиденциальных пользовательских данных и отправляло их на серверы, расположенные в Китае. Специалисты подозревают, что приложение может шпионить за пользователями.Согласно сообщениям экспертов, приложение могло самостоятельно устанавливать и загружать сторонние программы вне Google Play благодаря функции обновления. Один из компонентов приложения собирал такую информацию, как IMEI, IMSI, имя оператора, серийный номер SIM-карты, информация об SD-карте, язык ОС, версия ядра, размер и яркость экрана, а также адреса Bluetooth. Приложение самостоятельно перезапускалось после выключения и работало в фоновом режиме. Кроме того, приложение требовало доступа к контактам, микрофону, камере, а также возможности менять сетевое подключение. По мнению исследователей, такое количество разрешений означало, что серверы DJI «почти полностью контролировали пользовательские устройства».Представители DJI, в свою очередь, заявили, что исследователи обнаружили «гипотетические уязвимости», и что ни в одном из отчетов не было представлено никаких доказательств того, что эти уязвимости когда-либо подвергались эксплуатации. Они также заявили, что все функции и компоненты, описанные в отчетах, либо служили законным целям, либо были удалены в одностороннем порядке и не использовались злонамеренно.«Гипотетические уязвимости, изложенные в этих отчетах, лучше всего характеризуются как потенциальные ошибки, которые мы активно пытались выявить с помощью нашей программы Bug Bounty. Некоторые компоненты, указанные в отчетах, ранее были удалены из приложений управления дронами DJI после выявления в них потенциальных недостатков безопасности. Опять же, нет никаких доказательств того, что их когда-либо эксплуатировали».В DJI также подчеркнули, что дроны DJI, разработанные для государственных учреждений, не передают данные в DJI и совместимы только с некоммерческой версией приложения DJI Pilot. Программное обеспечение для этих дронов обновляется только в автономном режиме, что означает, что отчёт Grimm и Synacktiv не имеет к ним отношения. «Специалисты компании Booz Allen Hamilton провели аудит этих систем и не обнаружили никаких доказательств того, что данные, которые собираются этими дронами, передаются DJI, в Китай или любой другой третьей стороне. Ранее продукты DJI подвергались проверкам Национального управления океанических и атмосферных исследований, американской компании по кибербезопасности Kivu Consulting, Министерства внутренних дел США и Министерства внутренней безопасности США», — заявили в компании.Google отметила, что пока изучает оба отчёта. При этом версия приложения для iOS не содержит никаких сомнительных механизмов. Как указывает ArsTechnica, исследование в отношении DJI подчеркивает дезорганизацию нынешней системы приложений Google. «Неэффективная проверка, отсутствие детализации разрешений в старых версиях Android и открытость операционной системы облегчают публикацию вредоносных приложений в Play Store», — заключает издание. =========== Источник: habr.com =========== Похожие новости:
Информационная безопасность ), #_itkompanii ( IT-компании ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 08-Май 00:39
Часовой пояс: UTC + 5