DJI nel mirino: l'app dei droni su Android raccoglierebbe dati personali a insaputa degli utenti

Due società di sicurezza hanno diramato due distinti resoconti che segnalano la presenza di un problema di sicurezza nelle app DJI GO 4 di controllo dei droni DJI. Il problema non mette a repentaglio l'incolumità delle persone, ma la loro privacy: il New York Times, che ha diramato la notizia, racconta infatti che l'app DJI per il sistema operativo Android raccoglie grandi quantià di informazioni personali.

Le società di sicurezza che hanno documentato il problema sono la francese Synacktiv e l'americana GRIMM, che hanno scoperto non solo che l'app raccoglie informazioni dai telefoni su cui è installata, ma anche che DJI ha la possibilità di aggiornarla aggirando il meccanismo di revisione di Google e che, per questo motivo, potrebbe essere in contrasto con i termini di servizio per gli sviluppatori Android. I cambiamenti sarebbero inoltre difficili da notare da parte degli utenti e i ricercatori Synacktiv affermano inoltre che anche quando l'app sembra chiusa, resta comunque in attesa di istruzioni da remoto.

Nello specifico, l'applicazione ha la possibilità di accedere ai contatti della rubrica e a risorse hardware (microfono, videocamera, GPS) con il rischio di poter dare a terzi o alla stessa DJI il controllo dello smartphone di un utente. Non solo: secondo i ricercatori GRIMM l'applicazione sarebbe anche in grado di installare app arbitrarie sfruttando il kit di sviluppo Weibo e aggirando ancora una volta i controlli di Google. In questo modo l'applicazione condivide le informazioni personali degli utenti con Weibo e potrebbe consentire a terzi di prendere di mira gli utenti con installazioni di app dannose.

L'app DJI GO 4 registra informazioni personali

I ricercatori hanno poi evidenziato come l'applicazione possa raccogliere informazioni personali, come IMSI, IMEI e il numero di serie della SIM in un telefono, nessuno dei quali è necessario per il funzionamento dei droni. Il comportamento, sottolineano i ricercatori, potrebbe sollevare la preoccupazione che tali informazioni vengano raccolte per altri scopi. "Il telefono ha accesso a tutto ciò che il drone sta facendo, ma le informazioni di cui stiamo parlando qui sono informazioni telefoniche. Non vediamo per quale motivo DJI avrebbe bisogno di quei dati" ha spiegato Tiphaine Romand-Latapie, ingegnere per Synacktiv.

DJI da parte sua afferma al New York Times che la app può forzare gli aggiornamenti come misura per impedire agli utenti più "smanettoni" di modificare l'app per eludere le no-fly zone e altre restrizioni di volo. Brendan Schulman, portavoce di DJI, ha affermato: "Questa funzione di sicurezza nella versione Android di una delle nostre app di controllo del volo ricreativo impedisce a chiunque di provare a utilizzare una versione compromessa per ignorare le nostre funzioni di sicurezza, come limiti di altitudine e geofencing. Se viene rilevata una versione compromessa, agli utenti viene richiesto di scaricare la versione ufficiale dal nostro sito Web". Funzione che, precisa lo stesso Schulman, non era presente nel software utilizzato da governi o aziende.

Il problema non esiste per la versione iOS dell'app

I problemi riscontrati dai ricercatori sarebbero invece del tutto assenti nella versione dell'app per il sistema operativo iOS. Nel mercato cinese App Store di Apple è autorizzato ad operare, al contrario di Google e di tutti i suoi servizi. Nel caso di iOS, DJI ha pertanto un canale ufficiale anche in Cina dove può trasmettere gli aggiornamenti all'app mentre per quanto riguarda la versione Android deve affidarsi ad un "workaround" per consentire anche al pubblico cinese di poter usare le proprie soluzioni e potrebbe essere proprio questo il motivo per cui la versione Android dell'app ha la capacità di ricevere aggiornamenti in via diretta.

L'analisi è stata commissionata a GRIMM da parte di una società anonima che viene descritta come "defense and public safety technology vendor", mentre Synacktiv non ha rilasciato alcun dettaglio in merito. Si tratta comunque di una situazione delicata, che non mancherà di inasprire i già tesissimi rapporti tra Washington e Pechino.