DJI nel mirino: l'app dei droni su Android raccoglierebbe dati personali a insaputa degli utenti

DJI nel mirino: l'app dei droni su Android raccoglierebbe dati personali a insaputa degli utenti

Due società di sicurezza scoprono un problema nell'app dei droni DJI, che accede ai dati personali dell'utente e alle risorse hardware del telefono. Il problema è solo per la versione Android dell'app, mentre su iOS tutto pare funzionare correttamente

di pubblicata il , alle 10:41 nel canale Sicurezza
DJI
 

Due società di sicurezza hanno diramato due distinti resoconti che segnalano la presenza di un problema di sicurezza nelle app DJI GO 4 di controllo dei droni DJI. Il problema non mette a repentaglio l'incolumità delle persone, ma la loro privacy: il New York Times, che ha diramato la notizia, racconta infatti che l'app DJI per il sistema operativo Android raccoglie grandi quantià di informazioni personali.

Le società di sicurezza che hanno documentato il problema sono la francese Synacktiv e l'americana GRIMM, che hanno scoperto non solo che l'app raccoglie informazioni dai telefoni su cui è installata, ma anche che DJI ha la possibilità di aggiornarla aggirando il meccanismo di revisione di Google e che, per questo motivo, potrebbe essere in contrasto con i termini di servizio per gli sviluppatori Android. I cambiamenti sarebbero inoltre difficili da notare da parte degli utenti e i ricercatori Synacktiv affermano inoltre che anche quando l'app sembra chiusa, resta comunque in attesa di istruzioni da remoto.

Nello specifico, l'applicazione ha la possibilità di accedere ai contatti della rubrica e a risorse hardware (microfono, videocamera, GPS) con il rischio di poter dare a terzi o alla stessa DJI il controllo dello smartphone di un utente. Non solo: secondo i ricercatori GRIMM l'applicazione sarebbe anche in grado di installare app arbitrarie sfruttando il kit di sviluppo Weibo e aggirando ancora una volta i controlli di Google. In questo modo l'applicazione condivide le informazioni personali degli utenti con Weibo e potrebbe consentire a terzi di prendere di mira gli utenti con installazioni di app dannose.

L'app DJI GO 4 registra informazioni personali

I ricercatori hanno poi evidenziato come l'applicazione possa raccogliere informazioni personali, come IMSI, IMEI e il numero di serie della SIM in un telefono, nessuno dei quali è necessario per il funzionamento dei droni. Il comportamento, sottolineano i ricercatori, potrebbe sollevare la preoccupazione che tali informazioni vengano raccolte per altri scopi. "Il telefono ha accesso a tutto ciò che il drone sta facendo, ma le informazioni di cui stiamo parlando qui sono informazioni telefoniche. Non vediamo per quale motivo DJI avrebbe bisogno di quei dati" ha spiegato Tiphaine Romand-Latapie, ingegnere per Synacktiv.

DJI da parte sua afferma al New York Times che la app può forzare gli aggiornamenti come misura per impedire agli utenti più "smanettoni" di modificare l'app per eludere le no-fly zone e altre restrizioni di volo. Brendan Schulman, portavoce di DJI, ha affermato: "Questa funzione di sicurezza nella versione Android di una delle nostre app di controllo del volo ricreativo impedisce a chiunque di provare a utilizzare una versione compromessa per ignorare le nostre funzioni di sicurezza, come limiti di altitudine e geofencing. Se viene rilevata una versione compromessa, agli utenti viene richiesto di scaricare la versione ufficiale dal nostro sito Web". Funzione che, precisa lo stesso Schulman, non era presente nel software utilizzato da governi o aziende.

Il problema non esiste per la versione iOS dell'app

I problemi riscontrati dai ricercatori sarebbero invece del tutto assenti nella versione dell'app per il sistema operativo iOS. Nel mercato cinese App Store di Apple è autorizzato ad operare, al contrario di Google e di tutti i suoi servizi. Nel caso di iOS, DJI ha pertanto un canale ufficiale anche in Cina dove può trasmettere gli aggiornamenti all'app mentre per quanto riguarda la versione Android deve affidarsi ad un "workaround" per consentire anche al pubblico cinese di poter usare le proprie soluzioni e potrebbe essere proprio questo il motivo per cui la versione Android dell'app ha la capacità di ricevere aggiornamenti in via diretta.

L'analisi è stata commissionata a GRIMM da parte di una società anonima che viene descritta come "defense and public safety technology vendor", mentre Synacktiv non ha rilasciato alcun dettaglio in merito. Si tratta comunque di una situazione delicata, che non mancherà di inasprire i già tesissimi rapporti tra Washington e Pechino.

3 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
supertigrotto24 Luglio 2020, 12:19 #1
Male!
Trump aveva già preso di mira DJI ma questa ultima gaffe del costruttore peggiorerà le cose.
Uno dei migliori,se non il miglior produttore di droni commerciali non può permettersi di fare un errore del genere.
Alla fine,anche autocostruirsi un drone di ottima qualità costa e non poco e mi riferisco ai fotografici e non ai Racer, però una persona che vuole un drone di qualità si rivolge a DJI,se DJI non protegge il consumatore,va a disfare tutto quello che ha fatto di buono in tutti questi anni.
Svelgen24 Luglio 2020, 13:55 #2
Ottimo!
Non solo la versione per Android funziona da schifo...(provato di persona), ma rispetto a IOS raccoglie anche dati personali.
mikypolice25 Luglio 2020, 09:46 #3
si, come se solo dji sniffata dati personali... ma per piacere... siamo ai soliti society attack da parte dei portatori di pace nel mondo... non è chiaro allora... se copiano gli americani è tutto apposto, se copiano tedeschi, russi, iraniani, tailandesi, cinesi, marziani no...

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^