Polityka i prawo
Aplikacja do obsługi dronów narzędziem szpiegowskim? Chiński sposób na kradzież danych
Aplikacja przeznaczona do obsługi dronów chińskiego producenta stanowi zagrożenie dla użytkowników, ponieważ zawiera elementy złośliwego oprogramowani. Apka wymaga bardzo szerokich uprawnień takich jak dostęp do kamery, mikrofonu, kontaktów czy lokalizacji, co wydaje się podejrzliwe. W ten sposób pobiera ona wrażliwe dane z urządzeń nawet wtedy, gdy użytkownik z niej nie korzysta.
Chiński producent dronów Daijiang Innovations (DJI) stworzył aplikację mobilną DJI GO 4 przeznaczoną do obsługi swoich produktów. Stanowi ona realne zagrożenie dla użytkowników i ich prywatności – wynika z badań przeprowadzonych przez Synactiv i GRIMM. Obie firmy nawiązały współpracę w celu przeprowadzenia analizy problemu i potwierdzenia ryzyka związanego z użytkowaniem aplikacji chińskiej marki.
Badania wykazały, że apka zawiera funkcję automatycznej aktualizacji, która odbywa się poza sklepem Google Play. Co więcej, posiada możliwość pobierania i instalowania dowolnych aplikacji za pośrednictwem sieci Weibo. W ramach tego procesu zbierane są prywatne informacje użytkowników, które następnie są przesyłane na serwery Weibo.
„Mechanizm ten jest bardzo podobny do tego, który działa na serwerach dowodzenia i kontroli (Command & Control - C2) dotyczących złośliwego oprogramowania” – czytamy w raporcie opublikowanym na oficjalnej stronie Synacktiv. Eksperci wskazują, że aplikacja wymaga bardzo szerokich uprawnień, w tym dostępu do mikrofonu, kontaktów, kamery czy lokalizacji, przez co DJI lub Weibo posiadają pełną kontrolę nad konkretnym urządzeniem.
Wskazany mechanizm działania produktu chińskiej marki sprawia, że Google nie ma możliwości przeprowadzenia żadnej weryfikacji żądanej aktualizacji oraz modyfikacji wprowadzonych przez producenta. Według zaprezentowanych w raporcie danych problem dotyczy ponad miliona użytkowników, którzy pobrali aplikację.
„Problem polega na tym, że można przesłać aktualizację na urządzenia. Ta aktualizacja może zawierać exploit, który przejmuje kontrolę nad telefonem. Stamtąd masz dostęp do wszystkiego” – wyjaśnił w rozmowie dla serwisu CyberScoop Brian DeMuth, dyrektor GRIMM.
Specjaliści podkreślili, że DJI GO 4 zawierała również „pakiet Mob SDK, który zbiera prywatne dane i przesyła je do MobTech, chińskiej firmy analitycznej”. Wśród gromadzonych informacji znajduje się między innymi numer seryjny karty SIM. „Dane te nie są istotne ani konieczne do kierowania dronem i wykraczają poza politykę prywatności” – stwierdzono w raporcie.
W analizie jednoznacznie stwierdzono, że apka może działać w tle pomimo, że użytkownicy z niej nie korzystają. W ten sposób pobiera ona dane niezależnie od wiedzy i zgody użytkownika. Eksperci alarmują, że wymienione wyżej dane mogą być wykorzystywane przez agencje wywiadowcze lub inne podmioty do szpiegowania.