Un Drone Quadricoptère Dji Phantom 4.
Agrandir / Un drone quadricoptère DJI Phantom 4.

La version Android de DJI Go 4 – une application qui permet aux utilisateurs de contrôler les drones – a jusqu’à récemment collecté secrètement des données utilisateur sensibles et peut télécharger et exécuter du code au choix des développeurs, ont déclaré des chercheurs dans deux rapports qui remettent en question la sécurité et la fiabilité d’un programme avec plus d’un million de téléchargements sur Google Play.

L’application est utilisée pour contrôler et collecter des données vidéo et de vol en temps quasi réel à partir de drones fabriqués par DJI, le plus grand fabricant mondial de drones commerciaux, basé en Chine. Le Play Store montre qu’il compte plus d’un million de téléchargements, mais en raison de la manière dont Google divulgue les chiffres, le nombre réel pourrait atteindre 5 millions. L’application a une note de trois étoiles et demie sur un total possible de cinq sur plus de 52 000 utilisateurs.

Table des matières hide
1 Large éventail de données utilisateur sensibles
2 Obfusqué, acquisitif et toujours actif
3 DJI répond
4 N’oubliez pas le désordre de l’application Android

Large éventail de données utilisateur sensibles

Il y a deux semaines, la société de sécurité Synactive rétro-ingénierie l’application. Jeudi, la firme de sécurité Grimm a publié le résultats de sa propre analyse indépendante. Au minimum, les deux ont constaté que l’application contournait les termes de Google et que, jusqu’à récemment, l’application collectait secrètement un large éventail de données utilisateur sensibles et les envoyait à des serveurs situés en Chine continentale. Dans le pire des cas, les développeurs abusent de fonctionnalités difficiles à identifier pour espionner les utilisateurs.

Selon les rapports, les comportements suspects comprennent:

Publicité
  • La possibilité de télécharger et d’installer n’importe quelle application du choix des développeurs via une fonction de mise à jour automatique ou un programme d’installation dédié dans un kit de développement logiciel fourni par la plate-forme de médias sociaux basée en Chine Weibo. Les deux fonctionnalités pourraient télécharger du code en dehors de Play, en violation des conditions de Google.
  • Un composant récemment supprimé qui a collecté une multitude de données de téléphone, notamment IMEI, IMSI, le nom de l’opérateur, le numéro de série SIM, les informations de la carte SD, la langue du système d’exploitation, la version du noyau, la taille et la luminosité de l’écran, le nom du réseau sans fil, l’adresse et MAC, et les adresses Bluetooth. Ces détails et bien d’autres ont été envoyés à MobTech, fabricant d’un kit de développement logiciel utilisé jusqu’à la dernière version de l’application.
  • Redémarre automatiquement chaque fois qu’un utilisateur a glissé l’application pour la fermer. Les redémarrages provoquent l’exécution de l’application en arrière-plan et continuent à faire des requêtes réseau.
  • Techniques d’obfuscation avancées qui nécessitent une analyse tierce de l’application.

Les rapports de ce mois arrivent trois ans après l’armée américaine interdit l’utilisation des drones DJI pour des raisons qui restent classées. En janvier, le Le département de l’intérieur a mis à la terre des drones de DJI et d’autres fabricants chinois par inquiétude, les données pourraient être renvoyées sur le continent.

Les responsables de DJI ont déclaré que les chercheurs avaient trouvé des «vulnérabilités hypothétiques» et qu’aucun des rapports ne fournissait la moindre preuve qu’ils aient jamais été exploités.

«La fonction de mise à jour des applications décrite dans ces rapports sert l’objectif de sécurité très important qui consiste à limiter l’utilisation d’applications piratées qui cherchent à remplacer nos fonctionnalités de géorepérage ou de limitation d’altitude», ont-ils écrit dans un communiqué. La géolocalisation est une barrière virtuelle que la Federal Aviation Administration ou d’autres autorités empêchent les drones de franchir. Les drones utilisent le GPS, le Bluetooth et d’autres technologies pour appliquer les restrictions.

Un porte-parole de Google a déclaré que la société examinait les rapports. Les chercheurs ont déclaré que la version iOS de l’application ne contenait aucun mécanisme d’obfuscation ou de mise à jour.

Obfusqué, acquisitif et toujours actif

À plusieurs égards, ont déclaré les chercheurs, DJI Go 4 pour Android imitait le comportement des botnets et des logiciels malveillants. Les composants d’auto-mise à jour et d’installation automatique, par exemple, appellent un serveur désigné par le développeur et attendent des commandes pour télécharger et installer du code ou des applications. Les techniques d’obfuscation ressemblaient étroitement à celles utilisées par les logiciels malveillants pour empêcher les chercheurs de découvrir son véritable objectif. D’autres similitudes étaient un statut permanent et la collecte de données sensibles qui n’étaient pas pertinentes ou nécessaires pour l’objectif déclaré de faire voler des drones.

L’ampleur des autorisations requises pour utiliser l’application, qui comprend l’accès aux contacts, au microphone, à la caméra, à l’emplacement, au stockage et à la possibilité de modifier la connectivité réseau, rend le comportement plus préoccupant. De telles autorisations tentaculaires signifiaient que les serveurs de DJI ou de Weibo, tous deux situés dans un pays connu pour son piratage d’espionnage parrainé par le gouvernement, avaient un contrôle presque total sur les appareils des utilisateurs, ont déclaré les chercheurs.

Les deux équipes de recherche ont déclaré n’avoir vu aucune preuve que le programme d’installation de l’application avait été réellement utilisé, mais elles ont vu le mécanisme de mise à jour automatique se déclencher et télécharger une nouvelle version à partir du serveur DJI et l’installer. Les URL de téléchargement des deux fonctionnalités sont générées dynamiquement, ce qui signifie qu’elles sont fournies par un serveur distant et peuvent être modifiées à tout moment.

Les chercheurs des deux entreprises ont mené des expériences qui ont montré comment les deux mécanismes pouvaient être utilisés pour installer des applications arbitraires. Alors que les programmes étaient livrés automatiquement, les chercheurs devaient tout de même cliquer sur leur approbation avant que les programmes puissent être installés.

Les deux rapports de recherche se sont arrêtés avant de dire que l’application ciblait réellement des personnes, et tous deux ont noté que la collecte des IMSI et d’autres données avait pris fin avec la publication de la version actuelle 4.3.36. Les équipes, cependant, n’ont pas exclu la possibilité d’utilisations néfastes. Les chercheurs de Grimm ont écrit:

Dans le meilleur des cas, ces fonctionnalités ne sont utilisées que pour installer des versions légitimes d’applications susceptibles d’intéresser l’utilisateur, telles que la suggestion d’applications DJI ou Weibo supplémentaires. Dans ce cas, la technique beaucoup plus courante consiste à afficher l’application supplémentaire dans l’application Google Play Store en lien vers celui-ci depuis votre application. Ensuite, si l’utilisateur le souhaite, il peut installer l’application directement depuis le Google Play Store. De même, les composants d’auto-mise à jour ne peuvent être utilisés que pour fournir aux utilisateurs la version la plus à jour de l’application. Cependant, cela peut être plus facilement accompli via le Google Play Store.

Dans le pire des cas, ces fonctionnalités peuvent être utilisées pour cibler des utilisateurs spécifiques avec des mises à jour ou des applications malveillantes qui pourraient être utilisées pour exploiter le téléphone de l’utilisateur. Compte tenu de la quantité d’informations sur les utilisateurs récupérées sur leur appareil, DJI ou Weibo serait facilement en mesure d’identifier des cibles spécifiques d’intérêt. La prochaine étape dans l’exploitation de ces cibles serait de suggérer une nouvelle application (via le SDK Weibo) ou de mettre à jour l’application DJI avec une version personnalisée conçue spécifiquement pour exploiter leur appareil. Une fois leur appareil exploité, il pourrait être utilisé pour collecter des informations supplémentaires sur le téléphone, suivre l’utilisateur via les différents capteurs du téléphone, ou servir de tremplin pour attaquer d’autres appareils sur le réseau WiFi du téléphone. Ce système de ciblage permettrait à un attaquant d’être beaucoup plus furtif avec son exploitation, plutôt que des techniques beaucoup plus bruyantes, telles que exploiter tous les appareils visitant un site Web.

DJI répond

Les responsables de DJI ont publié un réponse exhaustive et vigoureuse Cela dit que toutes les fonctionnalités et composants détaillés dans les rapports ont servi à des fins légitimes ou ont été supprimés unilatéralement et n’ont pas été utilisés à des fins malveillantes.

«Nous concevons nos systèmes de manière à ce que les clients DJI aient un contrôle total sur la manière de partager ou non leurs photos, vidéos et journaux de vol, et nous soutenons la création de normes de l’industrie pour la sécurité des données des drones qui fourniront protection et confiance à tous les utilisateurs de drones», déclaration a dit. Il a fourni la discussion point par point suivante:

  • Lorsque nos systèmes détectent qu’une application DJI n’est pas la version officielle – par exemple, si elle a été modifiée pour supprimer des fonctionnalités de sécurité de vol critiques telles que le géorepérage ou les restrictions d’altitude – nous informons l’utilisateur et lui demandons de télécharger la version officielle la plus récente du application de notre site Web. Dans les versions futures, les utilisateurs pourront également télécharger la version officielle de Google Play si elle est disponible dans leur pays. Si les utilisateurs ne consentent pas à le faire, leur version non autorisée (piratée) de l’application sera désactivée pour des raisons de sécurité.
  • Modifications non autorisées aux applications de contrôle DJI a soulevé des inquiétudes dans le passé, et cette technique est conçue pour aider à garantir que nos mesures globales de sécurité de l’espace aérien sont appliquées de manière cohérente.
  • Parce que nos clients récréatifs souhaitent souvent partager leurs photos et vidéos avec leurs amis et leur famille sur les réseaux sociaux, DJI intègre nos applications grand public aux principaux sites de réseaux sociaux via leurs SDK natifs. Nous devons adresser les questions sur la sécurité de ces SDK à leurs services de médias sociaux respectifs. Cependant, veuillez noter que le SDK n’est utilisé que lorsque nos utilisateurs l’activent de manière proactive.
  • DJI GO 4 n’est pas capable de redémarrer sans intervention de l’utilisateur, et nous étudions pourquoi ces chercheurs affirment l’avoir fait. Nous n’avons pas été en mesure de reproduire ce comportement dans nos tests jusqu’à présent.
  • Les vulnérabilités hypothétiques décrites dans ces rapports sont mieux caractérisées comme des bogues potentiels, que nous avons tenté d’identifier de manière proactive grâce à notre Programme Bug Bounty, où les chercheurs en sécurité divulguent de manière responsable les problèmes de sécurité qu’ils découvrent en échange de paiements allant jusqu’à 30 000 $. Puisque toutes les applications de contrôle de vol DJI sont conçues pour fonctionner dans n’importe quel pays, nous avons pu améliorer notre logiciel grâce aux contributions de chercheurs du monde entier, comme on le voit sur cette liste.
  • Les composants MobTech et Bugly identifiés dans ces rapports ont été précédemment supprimés des applications de contrôle de vol DJI après que des chercheurs précédents aient identifié des failles de sécurité potentielles. Encore une fois, il n’y a aucune preuve qu’ils aient jamais été exploités, et ils n’ont pas été utilisés dans les systèmes de contrôle de vol de DJI pour les clients gouvernementaux et professionnels.
  • L’application DJI GO4 est principalement utilisée pour contrôler nos produits de drones récréatifs. Les drones DJI conçus pour les agences gouvernementales ne transmettent pas de données à DJI et ne sont compatibles qu’avec une version non disponible dans le commerce de l’application DJI Pilot. Le logiciel de ces drones n’est mis à jour que via un processus hors ligne, ce qui signifie que ce rapport n’est pas pertinent pour les drones destinés à un usage gouvernemental sensible. UNE rapport de sécurité récent de Booz Allen Hamilton a audité ces systèmes et n’a trouvé aucune preuve que les données ou informations collectées par ces drones sont transmises à DJI, en Chine ou à toute autre partie inattendue.
  • Il ne s’agit que de la dernière validation indépendante de la sécurité des produits DJI suite aux avis des États-Unis L’administration nationale des océans et de l’atmosphère, Société américaine de cybersécurité Conseil Kivu, les Etats Unis Département de l’intérieur et les USA département de la Sécurité intérieure.
  • DJI a longtemps appelé à la création de normes industrielles pour la sécurité des données des drones, un processus qui, nous l’espérons, continuera à fournir des protections appropriées aux utilisateurs de drones ayant des problèmes de sécurité. Si ce type de fonctionnalité, destiné à assurer la sécurité, est un problème, il doit être traité dans des normes objectives qui peuvent être spécifiées par les clients. DJI s’engage à protéger les données des utilisateurs de drones, c’est pourquoi nous concevons nos systèmes de manière à ce que les utilisateurs de drones puissent contrôler s’ils partagent des données avec nous. Nous sommes également attachés à la sécurité, en essayant de proposer des solutions technologiques pour assurer la sécurité de l’espace aérien.

N’oubliez pas le désordre de l’application Android

La recherche et la réponse de DJI soulignent le désarroi du système actuel d’achat d’applications de Google. Un contrôle inefficace, le manque de granularité des autorisations dans les anciennes versions d’Android et l’ouverture du système d’exploitation facilitent la publication d’applications malveillantes sur le Play Store. Ces mêmes choses permettent également de confondre facilement des fonctions légitimes avec des fonctions malveillantes.

Les personnes qui ont installé DJI Go 4 pour Android peuvent vouloir le supprimer au moins jusqu’à ce que Google annonce les résultats de son enquête (le comportement de redémarrage automatique signalé signifie qu’il n’est pas suffisant de simplement réduire l’utilisation de l’application pour le moment). Au final, les utilisateurs de l’application se retrouvent dans une position similaire à celle de TikTok, qui a également éveillé des soupçons, à la fois en raison d’un comportement considéré comme fragmentaire par certains et en raison de son propriété par ByteDance basé en Chine.

Il ne fait aucun doute que de nombreuses applications Android sans lien avec la Chine commettent des infractions similaires ou pires que celles attribuées à DJI Go 4 et TikTok. Les gens qui veulent se tromper du côté de la sécurité devraient éviter la grande majorité d’entre eux.

Rate this post
Publicité
Article précédentVoici une grande capitalisation qui mérite d’être examinée de plus près
Article suivantRiot a réalisé un superbe court métrage d’anime pour révéler le nouveau champion de League of Legends
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici