Pred zopár dňami výskumníci kybernetickej ochrany zo Synacktiv a GRIMM našli bezpečnostné závady v Android aplikácií od čínskeho výrobcu dronov Da Jiang Innovations, prednostne známych pod iniciálovou skratkou DJI. Aplikácia nielen že pristupuje k množstvu povolení smartfónu, ale vyznačuje sa aj schopnosťou inštalácie ďalších APK súborov z cudzích zdrojov.
DJI má podozrivý spôsob aktualizovania aplikácie
Táto aplikácia podľa webu TheHackerNews prichádza so zvláštnym mechanizmom automatických aktualizácií. Ten obchádza ochranu samotného Obchodu Play a tým pádom je možné túto bezpečnostnú dieru použiť na inštaláciu škodlivých aplikácií. To môže znamenať potenciálny prenos citlivých osobných informácií priamo na servery spoločnosti DJI.
Aby toho nebolo málo, konkrétne pre dron DJI Go 4 appka nezbiera iba údaje o smartfóne, ako IMEI, sériové číslo či číslo karty SIM, ale vytvára aj rôzne šifrovacie techniky na narušenie bezpečnostnej analýzy.
Okrem toho však sú požadované aj povolenia ku kontaktom, mikrofónu, kamere, polohe, úložisku a k sieťovému pripojeniu. Je tak očividne jasné, že kvôli tak veľkému množstvu kľúčových povolení majú čínske servery prakticky plnú kontrolu nad používateľovým zariadením.
Nie je predsa normálne, aby aplikácia na kontrolu drona požadovala prístup k vlastne všetkému na smartfóne. Nejednému z vás to príde predsa len nejako podozrivé a rozhodne by to tak nemalo byť.
Na iOS sa s týmto problémom zrejme nestretnete
Istým spôsobom automatického aktualizovania sa aplikácia taktiež snažila používateľa nabádať k povoleniu inštalácií aplikácií z nedôveryhodných zdrojov, čo môže vyvolávať podozrenie o záujem inštalácií ďalších potenciálne nechcených a nebezpečných APK súborov.
Za zmienku stojí fakt, že aplikácia má v Obchode Play cez jeden milión stiahnutí. Verzia aplikácie pre operačný systém iOS sa však týmito chybami nevyznačuje.
Našťastie podľa najnovších informácií nie sú momentálne dostupné žiadne informácie o zneužití tejto záhadnej diery a taktiež sa nehlási ani žiaden či už chcený, alebo nechcený únik údajov používateľov. Pokiaľ by sa na tejto veci niečo zmenilo, budeme vás o tom informovať.