Các nhà nghiên cứu an ninh mạng hôm thứ Năm đã tiết lộ các vấn đề bảo mật trong ứng dụng Android được phát triển bởi nhà sản xuất máy bay không người lái Trung Quốc Da Jiang Innovations (DJI) đi kèm với cơ chế cập nhật tự động bỏ qua Google Play Store và có thể được sử dụng để cài đặt các ứng dụng độc hại và truyền thông tin cá nhân nhạy cảm tới Máy chủ của DJI.
Các báo cáo sinh đôi, lịch sự của các công ty an ninh mạng Đồng bộ hóa và GRIMM, thấy rằng Đi 4 của DJI Ứng dụng Android không chỉ yêu cầu quyền rộng rãi và thu thập dữ liệu cá nhân (IMSI, IMEI, số sê-ri của thẻ SIM), nó còn tạo ra các kỹ thuật chống gỡ lỗi và mã hóa để ngăn chặn phân tích bảo mật.
“Cơ chế này rất giống với các máy chủ chỉ huy và kiểm soát gặp phải phần mềm độc hại”, Synack Activ nói.
“Với các quyền rộng được yêu cầu bởi DJI GO 4 – danh bạ, micrô, máy ảnh, vị trí, lưu trữ, thay đổi kết nối mạng – các máy chủ Trung Quốc DJI hoặc Weibo có quyền kiểm soát gần như toàn bộ điện thoại của người dùng.”
Ứng dụng Android có hơn một triệu lượt cài đặt thông qua Google Play Store. Nhưng các lỗ hổng bảo mật được xác định trong ứng dụng không áp dụng cho phiên bản iOS của nó, không bị che giấu, cũng không có tính năng cập nhật ẩn.
Cơ chế tự cập nhật “mờ ám”
GRIMM cho biết nghiên cứu được thực hiện để đáp ứng với kiểm toán bảo mật được yêu cầu bởi một nhà cung cấp công nghệ quốc phòng và an toàn công cộng giấu tên, người đã tìm cách “điều tra ý nghĩa riêng tư của máy bay không người lái DJI trong ứng dụng Android DJI GO 4”.
Kỹ thuật đảo ngược ứng dụng, Synack kích hoạt cho biết họ đã phát hiện ra sự tồn tại của một URL (“hxxps: //service-adhoc.dji.com/app/upTHER/public/check”) mà nó sử dụng để tải xuống bản cập nhật ứng dụng và nhắc người dùng cấp phép cho “Cài đặt ứng dụng không xác định. “
Các nhà nghiên cứu cho biết: “Chúng tôi đã sửa đổi yêu cầu này để kích hoạt một bản cập nhật bắt buộc thành một ứng dụng tùy ý, điều này đã nhắc nhở người dùng trước tiên cho phép cài đặt các ứng dụng không tin cậy, sau đó chặn anh ta sử dụng ứng dụng cho đến khi bản cập nhật được cài đặt”.
Không chỉ vi phạm trực tiếp các nguyên tắc của Cửa hàng Google Play, mà ý nghĩa của tính năng này cũng rất lớn. Kẻ tấn công có thể thỏa hiệp máy chủ cập nhật để nhắm mục tiêu người dùng với các bản cập nhật ứng dụng độc hại.
Thậm chí còn liên quan hơn, ứng dụng vẫn tiếp tục chạy trong nền ngay cả khi đã đóng và tận dụng SDK Weibo (“com.sina.weibo.sdk”) để cài đặt ứng dụng được tải xuống tùy ý, kích hoạt tính năng cho người dùng đã chọn phát trực tiếp nguồn cấp dữ liệu video bay không người lái qua Weibo. GRIMM cho biết họ không tìm thấy bất kỳ bằng chứng nào cho thấy nó bị khai thác để nhắm mục tiêu vào các cá nhân có cài đặt ứng dụng độc hại.
Bên cạnh đó, các nhà nghiên cứu nhận thấy rằng ứng dụng tận dụng lợi thế của MobTech SDK để siêu dữ liệu về điện thoại, bao gồm kích thước màn hình, độ sáng, địa chỉ WLAN, địa chỉ MAC, BSSID, địa chỉ Bluetooth, số IMEI và IMSI, tên nhà mạng, Số sê-ri SIM, thông tin thẻ SD, ngôn ngữ hệ điều hành và phiên bản kernel và thông tin vị trí.
DJI đẩy lùi những phát hiện
Gọi những phát hiện này là “mối quan tâm phần mềm điển hình” DJI tranh luận về nghiên cứu, nói rằng nó mâu thuẫn “các báo cáo từ Hoa Kỳ Sở quê hương Bảo mật (DHS), Booz Allen Hamilton và những người khác đã không tìm thấy bằng chứng về các kết nối truyền dữ liệu bất ngờ từ các ứng dụng của DJI được thiết kế cho khách hàng chính phủ và chuyên nghiệp. “
“Không có bằng chứng nào họ từng bị khai thác và chúng không được sử dụng trong các hệ thống điều khiển chuyến bay của DJI cho khách hàng chính phủ và khách hàng chuyên nghiệp”, công ty cho biết thêm rằng họ không thể tự sao chép hành vi của ứng dụng khởi động lại.
“Trong các phiên bản trong tương lai, người dùng cũng có thể tải xuống phiên bản chính thức từ Google Play nếu có sẵn ở quốc gia của họ. Nếu người dùng không đồng ý làm như vậy, phiên bản ứng dụng (bị hack) trái phép của họ sẽ bị vô hiệu hóa vì lý do an toàn . “
DJI là nhà sản xuất máy bay không người lái thương mại lớn nhất thế giới và đã phải đối mặt với sự giám sát ngày càng tăng cùng với các công ty Trung Quốc khác về các vấn đề an ninh quốc gia, dẫn đầu Bộ Nội vụ Hoa Kỳ tiếp đất đội máy bay không người lái DJI đầu tháng 1 này.
Tháng 5 vừa qua, DHS đã có cảnh báo các công ty rằng dữ liệu của họ có thể gặp rủi ro nếu họ sử dụng máy bay không người lái thương mại được sản xuất tại Trung Quốc và họ “chứa các thành phần có thể làm tổn hại dữ liệu của bạn và chia sẻ thông tin của bạn trên một máy chủ được truy cập ngoài chính công ty.”
“Quyết định này cho thấy rõ rằng những lo ngại của chính phủ Mỹ về máy bay không người lái DJI, chiếm một phần nhỏ trong đội tàu DOI, ít liên quan đến an ninh và thay vào đó là một phần trong chương trình nghị sự có động cơ chính trị nhằm giảm cạnh tranh thị trường và hỗ trợ máy bay không người lái sản xuất trong nước công nghệ, bất kể giá trị của nó, “công ty đã nói trong một tuyên bố trở lại vào tháng Giêng.
