Производитель дронов DJI собирает пользовательские данные
Фирменное приложение компании для управления дронами обладает скрытыми функциями обновления, собирает не нужные для работы данные и поддерживает постоянную связь с серверами. К таким выводам пришла французская компания Synacktiv, занимающая вопросами кибербезопасности. Специалисты компании провели реверс-инжиниринг приложения DJI ANDROID GO 4, с помощью которого происходит управления дронами DJI. В ходе проверки было выявлено несколько фактов, которые значительно повышают риски утечки и неправомерного использования пользовательских данных:
-Приложение DJI GO 4, вопреки заявлениям разработчиков, использует методы скрытия исходного кода и принципов работы, которые обычно применяются вредоносными программами;
-Приложение находится на постоянной связи с серверами компаниями, ожидая команды на принудительное обновление или установку нового программного обеспечения. Метод, используемый DJI, позволяет обойти стандартные способы установки приложений Google и установить APK-файл, не проверенный механизмами Google Store;
-Встроенный компонент MobTech собирает персональную информацию о смартфоне и пользователе, включая IMSI (International Mobile Subscriber Identity), IMEI, серийный номер SIM-карты и другие. Такие данные не требуются для управления полетом дрона и нарушают собственную политики конфиденциальности DJI;
-Приложение не закрывается стандартным методом сдвига вправо, продолжая работать в фоновом режиме и делая сетевые запросы;
При этом само приложение требует от пользователя доступ практически ко всем функциям смартфона (звонки, видео, звук, сетевое подключение). Потенциально это означает, что с серверов, на которые обращается DJI, можно управлять устройством пользователя.
В связи с этим Synacktiv не рекомендует использовать фирменное приложение в сферах, где необходимо обеспечение хотя бы минимального уровня безопасности.
