L'applicazione drone DJI può trasferire dati sensibili
L'applicazione drone DJI chiamata "DJI GO4" può avere il pieno controllo dei dispositivi degli utenti, sostiene i ricercatori di due società di sicurezza informatica.
Alcune delle migliori aziende tecnologiche sono di proprietà della Cina. Per esempio Huawei, TikTok, Lenovo, Xiaomi, ecc. la lista continua. Ma ultimamente, con l'acuirsi delle tensioni tra Cina e Stati Uniti, anche l'industria della sicurezza informatica è desiderosa di fare la sua parte.
Secondo le ultime ricerche condotte dalle aziende di sicurezza informatica statunitensi GRIMM e francesi Synacktiv, un'applicazione Android prodotta dal produttore cinese di droni Da Jiang Innovations (DJI) può installare applicazioni dannose o dirottare i telefoni cellulari degli utenti. Può anche rubare e trasmettere dati sensibili degli utenti ai server dell'azienda.
L'app, chiamata DJI GO 4, ha un sistema di autoaggiornamento non convenzionale che può installare con forza gli aggiornamenti sui telefoni degli utenti senza instradarli tramite Google Play Store. L'app, secondo i ricercatori, richiede ampie autorizzazioni e raccoglie dati cruciali come il numero di serie della SIM card, l'IMSI e il numero IMEI del cellulare.
Inoltre, è dotata di una tecnologia anti-debug e di crittografia, con la quale può ostacolare i controlli di sicurezza. Questo meccanismo è identico ai server C&C collegati al malware.
I ricercatori hanno poi rivelato che anche quando l'app è chiusa, rimane attiva in background e sfrutta un SDK Weibo per scaricare e installare un'app in modo casuale. Utilizza inoltre l'SDK di MobTech per estrarre i metadati del telefono, tra cui indirizzo MAC, BSSID, indirizzo WLAN, indirizzo Bluetooth, informazioni sulla scheda SD, lingua del sistema operativo e versione del kernel, nome del vettore e regolare le dimensioni e/o la luminosità dello schermo.
Poiché l'app può accedere a una serie di funzioni del telefono, tra cui fotocamera, contatti, geolocalizzazione, microfono, ecc., non solo DJI GO4 ma qualsiasi terza parte, compreso il governo cinese, può ottenere il pieno controllo del telefono. Questo tipo di aggiornamento è contrario alle linee guida del Google Play Store.
L'app installa anche applicazioni arbitrarie tramite Weibo SDK per condividere con Weibo i dati privati memorizzati sul telefono e consentire agli aggressori di prendere di mira utenti ignari con l'installazione di applicazioni dannose.
L'app drone DJI può trasferire dati sensibili e installare applicazioni dannose
Schermata del prompt che chiede all'utente di installare applicazioni non attendibili (Immagine: Synacktiv)
I ricercatori hanno notato che le vulnerabilità non si applicano alla versione iOS dell'applicazione e che solo i dispositivi Android sono a rischio.
In un post del blog, Synackti ha detto questo:
Nonostante sia sotto esame, il DJI non ha migliorato la trasparenza che circonda il potenziale abuso della sua applicazione mobile Android: L'applicazione DJI GO 4 fa uso di tecniche anti-analisi simili a quelle del malware, come l'anti-debug, l'offuscamento, l'imballaggio e la crittografia dinamica.
In un post sul blog, i ricercatori di GRIMM hanno scritto questo:
L'applicazione DJI GO 4 contiene diverse caratteristiche sospette così come una serie di tecniche anti-analisi, che non si trovano in altre applicazioni che utilizzano gli stessi SDK. Nel complesso, queste caratteristiche sono preoccupanti e possono consentire al DJI o a Weibo di accedere alle informazioni private dell'utente o di indirizzarle per un ulteriore sfruttamento.
La risposta del DJI:
Il DJI ha risposto definendo questi risultati come le solite "preoccupazioni relative al software", e sostiene di contraddire i rapporti pubblicati dal DHS statunitense e da Booz Allen Hamilton, ecc. che negano qualsiasi coinvolgimento dell'applicazione nel trasferimento di dati inatteso.
Inoltre, la funzione di aggiornamento non fa parte della versione governativa dell'app, ed è inclusa per evitare che gli hacker superino le restrizioni di sicurezza dell'app.
"Se viene rilevata una versione hackerata, agli utenti viene richiesto di scaricare la versione ufficiale dal nostro sito web", ha dichiarato Brendan Schulman, portavoce del DJI.
spero che ti sia piaciuto questo articolo, noi ci vediamo ad un prossimo articolo.
