Παρασκευή, 15 Ιανουαρίου, 22:09
Αρχική security Σφάλματα ασφαλείας επηρεάζουν drones της κινεζικής DJI!

Σφάλματα ασφαλείας επηρεάζουν drones της κινεζικής DJI!

Ερευνητές ασφαλείας των Synacktiv και GRIMM αποκάλυψαν σφάλματα ασφαλείας στην Android εφαρμογή που αναπτύχθηκε από την κινεζική εταιρεία παραγωγής drones Da Jiang Innovations (DJI), η οποία συνοδεύεται από έναν μηχανισμό αυτόματης ενημέρωσης που παρακάμπτει το Google Play Store και μπορεί να χρησιμοποιηθεί για την εγκατάσταση malware, καθώς και για τη μετάδοση ευαίσθητων προσωπικών πληροφοριών σε servers της DJI. Συγκεκριμένα, οι ερευνητές διαπίστωσαν ότι η Android εφαρμογή DJI Go4 όχι μόνο ζητά εκτεταμένες άδειες και συλλέγει προσωπικά δεδομένα (IMSI, IMEI, τον σειριακό αριθμό της κάρτας SIM), αλλά χρησιμοποιεί anti-debug και τεχνικές κρυπτογράφησης για να αποτρέψει αναλύσεις ασφαλείας.

DJI Go4


Η Synacktiv ανέφερε πως αυτός ο μηχανισμός μοιάζει πολύ με τους command and control servers που συναντώνται με malware. Πρόσθεσε, ακόμη, πως δεδομένων των ευρέων αδειών που απαιτούνται από την Android εφαρμογή DJI Go4 – επαφές, μικρόφωνο, κάμερα, τοποθεσία, αποθήκευση, αλλαγή σύνδεσης δικτύου – οι DJI ή Weibo servers έχουν τον πλήρη έλεγχο του τηλεφώνου ενός χρήστη.


Αξίζει να σημειωθεί ότι η Android εφαρμογή έχει πάνω από ένα εκατομμύριο λήψεις κι εγκαταστάσεις από το Google Play Store. Ακόμη, τα σφάλματα ασφαλείας που εντοπίστηκαν σε αυτήν, δεν ισχύουν για την έκδοση iOS, η οποία δεν διαθέτει τη λειτουργία κρυφής ενημέρωσης, επομένως δεν επηρεάζεται από τα σφάλματα ασφαλείας.


Όπως επεσήμανε η GRIMM, η έρευνα διεξήχθη ως απάντηση σε έναν έλεγχο ασφαλείας που ζητήθηκε από έναν ανώνυμο προμηθευτή τεχνολογίας άμυνας και δημόσιας ασφαλείας, ο οποίος επιδίωξε να διερευνήσει τις επιπτώσεις απορρήτου των drones της DJI εντός της Android εφαρμογής DJI GO 4.


Εξετάζοντας την εφαρμογή, η Synacktiv ανέφερε ότι εντόπισε μία διεύθυνση URL (“hxxps: //service-adhoc.dji.com/app/upgrade/public/check”), την οποία αυτή χρησιμοποιεί για να κατεβάσει μια ενημέρωση εφαρμογής και να ζητήσει από τον χρήστη να παραχωρήστε άδεια για “Εγκατάσταση αγνώστων εφαρμογών”.


Οι ερευνητές τροποποίησαν αυτό το αίτημα για να ενεργοποιήσουν μια αναγκαστική ενημέρωση σε μια αυθαίρετη εφαρμογή, η οποία παρακινούσε τον χρήστη πρώτα να επιτρέψει την εγκατάσταση μη αξιόπιστων εφαρμογών και, στη συνέχεια, τον εμπόδιζε να χρησιμοποιήσει την εφαρμογή μέχρι την εγκατάσταση της ενημέρωσης.

DJI


Αυτή η λειτουργία όχι μόνο αποτελεί άμεση παραβίαση των οδηγιών του Google Play Store, αλλά επίσης έχει πολύ σοβαρές συνέπειες. Ειδικότερα, ένας εισβολέας θα μπορούσε να θέσει σε κίνδυνο τον server ενημέρωσης, για να στοχεύσει χρήστες με κακόβουλες ενημερώσεις εφαρμογών. Μία ακόμα πιο σοβαρή συνέπεια είναι πως η εφαρμογή συνεχίζει να εκτελείται στο παρασκήνιο ακόμα και μετά το κλείσιμό της και αξιοποιεί ένα Weibo SDK (“com.sina.weibo.sdk”) για να εγκαταστήσει μια αυθαίρετα ληφθείσα εφαρμογή.


Επιπλέον, οι ερευνητές συμπέραναν ότι η εφαρμογή εκμεταλλεύεται το MobTech SDK για να μετατρέψει metadata σχετικά με το τηλέφωνο, όπως το μέγεθος της οθόνης, τη φωτεινότητα, τη διεύθυνση WLAN, τη διεύθυνση MAC, τους αριθμούς BSSID, τις διευθύνσεις Bluetooth, τους αριθμούς IMEI και IMSI, το όνομα φορέα, τον αριθμό σειράς SIM, πληροφορίες κάρτας SD, γλώσσα OS και έκδοση πυρήνα και πληροφορίες τοποθεσίας.

σφάλματα ασφαλείας

Επισημαίνοντας ότι τα ευρήματα αποτελούν “τυπικές ανησυχίες λογισμικού”, η DJI αμφισβήτησε την έρευνα, ενώ δήλωσε ότι αυτή έρχεται σε αντίθεση με αναφορές από το Υπουργείο Εσωτερικής Ασφαλείας των ΗΠΑ (DHS), την Booz Allen Hamilton και άλλους που δεν έχουν βρει στοιχεία για απροσδόκητες συνδέσεις μετάδοσης δεδομένων από εφαρμογές DJI που έχουν σχεδιαστεί για κυβερνητικούς πελάτες. Η εταιρεία σημείωσε πως δεν υπάρχουν στοιχεία που να έχουν αξιοποιηθεί ποτέ, ούτε που να έχουν χρησιμοποιηθεί στα συστήματα ελέγχου πτήσης της DJI, για κυβερνητικούς πελάτες.


Σε μελλοντικές εκδόσεις, οι χρήστες θα μπορούν επίσης να κατεβάσουν την επίσημη έκδοση από το Google Play, εάν είναι διαθέσιμη στη χώρα τους. Εάν οι χρήστες δεν συναινέσουν να το κάνουν, η μη εξουσιοδοτημένη έκδοση της εφαρμογής θα απενεργοποιηθεί για λόγους ασφαλείας, τόνισε η εταιρεία.
Η DJI είναι ο μεγαλύτερος κατασκευαστής εμπορικών drones στον κόσμο και υπόκειται σε ελέγχους, μαζί με άλλες κινεζικές εταιρείες, για ζητήματα εθνικής ασφάλειας, γεγονός που οδήγησε το Υπουργείο Εσωτερικών των ΗΠΑ να καθηλώσει τα drones της τον Ιανουάριο.

DJI drones

Επίσης, τον Μάιο, το DHS προειδοποίησε τις εταιρείες ότι τα δεδομένα τους ενδέχεται να διατρέχουν κίνδυνο, εάν χρησιμοποιούν εμπορικά drones που κατασκευάζονται στην Κίνα, τονίζοντας πως αυτά περιέχουν στοιχεία που μπορούν να θέσουν σε κίνδυνο τα δεδομένα τους και να αποκαλύψουν εμπιστευτικές πληροφορίες τους.


Η κίνηση των ΗΠΑ καθιστά σαφές ότι οι ανησυχίες της αμερικανικής κυβέρνησης για τα drones της DJI, δεν έχουν καμία σχέση με την ασφάλεια. Αντιθέτως, αποτελεί μία πολιτική τους για τη μείωση του ανταγωνισμού στην αγορά και την υποστήριξη της εγχώριας παραγωγής drone τεχνολογίας.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

Pohackontas
Pohackontashttps://www.secnews.gr
Every accomplishment starts with the decision to try.

LIVE NEWS

Android: Πώς να δείτε ποια apps έχουν πρόσβαση στην τοποθεσία σας

Δεν είναι μυστικό ότι οι εφαρμογές smartphone έχουν τη δυνατότητα πρόσβασης σε πολλά δικαιώματα — εάν τις αφήσετε. Είναι σημαντικό να βεβαιωθείτε...

Η Canon σας επιτρέπει να «τραβάτε φωτογραφίες» από το διάστημα

Αντί να κυκλοφορήσει νέες κάμερες για το CES 2021, η Canon κάνει κάτι διαφορετικό: Σας επιτρέπει να τραβάτε φωτογραφίες από το διάστημα....

Wikipedia vs Big tech: Ποιος πολεμάει την παραπληροφόρηση;

Καθώς η Ημέρα των Εκλογών μετατράπηκε σε Εβδομάδα Εκλογών στις ΗΠΑ, το Facebook, το Twitter και το YouTube προσπαθούσαν να αποτρέψουν την...
00:02:36

Tesla: Καλείται να ανακαλέσει αυτοκίνητα λόγω προβληματικών οθονών

H οθόνη αφής (touchscreen) σε ορισμένα αυτοκίνητα της Tesla φαίνεται να έχει κάποιο πρόβλημα, που θα μπορούσε...

Τα ransomware ευθύνονται για τις μισές παραβιάσεις δεδομένων σε νοσοκομεία

Σχεδόν οι μισές από τις παραβιάσεις δεδομένων που έγιναν σε νοσοκομεία και στον ευρύτερο τομέα της υγειονομικής περίθαλψης οφείλονται σε επιθέσεις ransomware,...

Οι αστρονόμοι μόλις βρήκαν την παλαιότερη υπερμεγέθη μαύρη τρύπα

Ένα κβάζαρ (quasar) ανακαλύφθηκε σε μια σκοτεινή γωνία του διαστήματος - πάνω από 13,03 δισεκατομμύρια έτη φωτός μακριά - και περιέχει μια...

Ποια είναι τα καλύτερα και πιο προσιτά τηλέφωνα 5G για το 2021

Σύντομα η αγορά θα κατακλιστεί με συσκευές 5G μεσαίας κατηγορίας. Όλο αυτό που θα συμβεί θα είναι πραγματικά συναρπαστικό: θα μπορείτε να...

Παραβιάστηκαν επαληθευμένα Twitter accounts σε cryptocurrency scam με το όνομα του Elon Musk!

Το τελευταίο διάστημα, χάκερς παραβιάζουν επαληθευμένα Twitter accounts σε cryptocurrency giveaway scam (απάτη δωρεάς κρυπτονομισμάτων), στο οποίο χρησιμοποιείται το όνομα του CEO...

Classiscam: Απατεώνες «πλαστογραφούν» brands κι εξαπατούν χρήστες Ευρωπαϊκών αγορών!

Δεκάδες εγκληματικές συμμορίες δημοσιεύουν ψεύτικες διαφημίσεις σε δημοφιλείς online αγορές, για να προσελκύσουν ανυποψίαστους χρήστες σε «δόλια» εμπορικά sites ή σε phishing...

iOS 14.4: Θα εμφανίζει ειδοποίηση για τις επισκευές με μη γνήσιες κάμερες

Ξεκινώντας από το iPhone 11, η Apple έχει προσθέσει μια ειδοποίηση στο iOS που λέει στον χρήστη πότε η συσκευή διαθέτει μια...