ΑρχικήsecurityΣφάλματα ασφαλείας επηρεάζουν drones της κινεζικής DJI!

Σφάλματα ασφαλείας επηρεάζουν drones της κινεζικής DJI!

Ερευνητές ασφαλείας των Synacktiv και GRIMM αποκάλυψαν σφάλματα ασφαλείας στην Android εφαρμογή που αναπτύχθηκε από την κινεζική εταιρεία παραγωγής drones Da Jiang Innovations (DJI), η οποία συνοδεύεται από έναν μηχανισμό αυτόματης ενημέρωσης που παρακάμπτει το Google Play Store και μπορεί να χρησιμοποιηθεί για την εγκατάσταση malware, καθώς και για τη μετάδοση ευαίσθητων προσωπικών πληροφοριών σε servers της DJI. Συγκεκριμένα, οι ερευνητές διαπίστωσαν ότι η Android εφαρμογή DJI Go4 όχι μόνο ζητά εκτεταμένες άδειες και συλλέγει προσωπικά δεδομένα (IMSI, IMEI, τον σειριακό αριθμό της κάρτας SIM), αλλά χρησιμοποιεί anti-debug και τεχνικές κρυπτογράφησης για να αποτρέψει αναλύσεις ασφαλείας.

DJI Go4


Η Synacktiv ανέφερε πως αυτός ο μηχανισμός μοιάζει πολύ με τους command and control servers που συναντώνται με malware. Πρόσθεσε, ακόμη, πως δεδομένων των ευρέων αδειών που απαιτούνται από την Android εφαρμογή DJI Go4 – επαφές, μικρόφωνο, κάμερα, τοποθεσία, αποθήκευση, αλλαγή σύνδεσης δικτύου – οι DJI ή Weibo servers έχουν τον πλήρη έλεγχο του τηλεφώνου ενός χρήστη.


Αξίζει να σημειωθεί ότι η Android εφαρμογή έχει πάνω από ένα εκατομμύριο λήψεις κι εγκαταστάσεις από το Google Play Store. Ακόμη, τα σφάλματα ασφαλείας που εντοπίστηκαν σε αυτήν, δεν ισχύουν για την έκδοση iOS, η οποία δεν διαθέτει τη λειτουργία κρυφής ενημέρωσης, επομένως δεν επηρεάζεται από τα σφάλματα ασφαλείας.


Όπως επεσήμανε η GRIMM, η έρευνα διεξήχθη ως απάντηση σε έναν έλεγχο ασφαλείας που ζητήθηκε από έναν ανώνυμο προμηθευτή τεχνολογίας άμυνας και δημόσιας ασφαλείας, ο οποίος επιδίωξε να διερευνήσει τις επιπτώσεις απορρήτου των drones της DJI εντός της Android εφαρμογής DJI GO 4.


Εξετάζοντας την εφαρμογή, η Synacktiv ανέφερε ότι εντόπισε μία διεύθυνση URL (“hxxps: //service-adhoc.dji.com/app/upgrade/public/check”), την οποία αυτή χρησιμοποιεί για να κατεβάσει μια ενημέρωση εφαρμογής και να ζητήσει από τον χρήστη να παραχωρήστε άδεια για “Εγκατάσταση αγνώστων εφαρμογών”.


Οι ερευνητές τροποποίησαν αυτό το αίτημα για να ενεργοποιήσουν μια αναγκαστική ενημέρωση σε μια αυθαίρετη εφαρμογή, η οποία παρακινούσε τον χρήστη πρώτα να επιτρέψει την εγκατάσταση μη αξιόπιστων εφαρμογών και, στη συνέχεια, τον εμπόδιζε να χρησιμοποιήσει την εφαρμογή μέχρι την εγκατάσταση της ενημέρωσης.

DJI


Αυτή η λειτουργία όχι μόνο αποτελεί άμεση παραβίαση των οδηγιών του Google Play Store, αλλά επίσης έχει πολύ σοβαρές συνέπειες. Ειδικότερα, ένας εισβολέας θα μπορούσε να θέσει σε κίνδυνο τον server ενημέρωσης, για να στοχεύσει χρήστες με κακόβουλες ενημερώσεις εφαρμογών. Μία ακόμα πιο σοβαρή συνέπεια είναι πως η εφαρμογή συνεχίζει να εκτελείται στο παρασκήνιο ακόμα και μετά το κλείσιμό της και αξιοποιεί ένα Weibo SDK (“com.sina.weibo.sdk”) για να εγκαταστήσει μια αυθαίρετα ληφθείσα εφαρμογή.


Επιπλέον, οι ερευνητές συμπέραναν ότι η εφαρμογή εκμεταλλεύεται το MobTech SDK για να μετατρέψει metadata σχετικά με το τηλέφωνο, όπως το μέγεθος της οθόνης, τη φωτεινότητα, τη διεύθυνση WLAN, τη διεύθυνση MAC, τους αριθμούς BSSID, τις διευθύνσεις Bluetooth, τους αριθμούς IMEI και IMSI, το όνομα φορέα, τον αριθμό σειράς SIM, πληροφορίες κάρτας SD, γλώσσα OS και έκδοση πυρήνα και πληροφορίες τοποθεσίας.

σφάλματα ασφαλείας

Επισημαίνοντας ότι τα ευρήματα αποτελούν “τυπικές ανησυχίες λογισμικού”, η DJI αμφισβήτησε την έρευνα, ενώ δήλωσε ότι αυτή έρχεται σε αντίθεση με αναφορές από το Υπουργείο Εσωτερικής Ασφαλείας των ΗΠΑ (DHS), την Booz Allen Hamilton και άλλους που δεν έχουν βρει στοιχεία για απροσδόκητες συνδέσεις μετάδοσης δεδομένων από εφαρμογές DJI που έχουν σχεδιαστεί για κυβερνητικούς πελάτες. Η εταιρεία σημείωσε πως δεν υπάρχουν στοιχεία που να έχουν αξιοποιηθεί ποτέ, ούτε που να έχουν χρησιμοποιηθεί στα συστήματα ελέγχου πτήσης της DJI, για κυβερνητικούς πελάτες.


Σε μελλοντικές εκδόσεις, οι χρήστες θα μπορούν επίσης να κατεβάσουν την επίσημη έκδοση από το Google Play, εάν είναι διαθέσιμη στη χώρα τους. Εάν οι χρήστες δεν συναινέσουν να το κάνουν, η μη εξουσιοδοτημένη έκδοση της εφαρμογής θα απενεργοποιηθεί για λόγους ασφαλείας, τόνισε η εταιρεία.
Η DJI είναι ο μεγαλύτερος κατασκευαστής εμπορικών drones στον κόσμο και υπόκειται σε ελέγχους, μαζί με άλλες κινεζικές εταιρείες, για ζητήματα εθνικής ασφάλειας, γεγονός που οδήγησε το Υπουργείο Εσωτερικών των ΗΠΑ να καθηλώσει τα drones της τον Ιανουάριο.

DJI drones

Επίσης, τον Μάιο, το DHS προειδοποίησε τις εταιρείες ότι τα δεδομένα τους ενδέχεται να διατρέχουν κίνδυνο, εάν χρησιμοποιούν εμπορικά drones που κατασκευάζονται στην Κίνα, τονίζοντας πως αυτά περιέχουν στοιχεία που μπορούν να θέσουν σε κίνδυνο τα δεδομένα τους και να αποκαλύψουν εμπιστευτικές πληροφορίες τους.


Η κίνηση των ΗΠΑ καθιστά σαφές ότι οι ανησυχίες της αμερικανικής κυβέρνησης για τα drones της DJI, δεν έχουν καμία σχέση με την ασφάλεια. Αντιθέτως, αποτελεί μία πολιτική τους για τη μείωση του ανταγωνισμού στην αγορά και την υποστήριξη της εγχώριας παραγωγής drone τεχνολογίας.

Pohackontas
Pohackontashttps://www.secnews.gr
Every accomplishment starts with the decision to try.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS