L’application de drones DJI criblée de failles de sécurité

DJI, le principal fabricant de drones commerciaux, répond aux allégations des chercheurs selon lesquelles son application mobile Android est criblée de failles de confidentialité. L’une de ces accusations stipule que l’application continue de fonctionner en arrière-plan même après sa fermeture et qu’elle collecte des données sensibles auprès des utilisateurs sans leur consentement.

Les problèmes de confidentialité ont été découverts dans l’application DJI GO 4, qui est l’application complémentaire utilisée pour contrôler les drones DJI. L’application a été téléchargée plus d’un million de fois sur Google Play (la version iOS de l’application n’a pas les mêmes problèmes, selon les chercheurs). Les chercheurs de Synacktiv ont trouvé plusieurs problèmes de confidentialité, qui ont ensuite été confirmés indépendamment par les chercheurs de GRIMM.

«L’application DJI GO 4 contient plusieurs fonctionnalités suspectes ainsi qu’un certain nombre de techniques anti-analyse, introuvables dans d’autres applications utilisant les mêmes SDK», selon des chercheurs de GRIMM, dans un article. “Dans l’ensemble, ces fonctionnalités sont inquiétantes et peuvent permettre à DJI ou Weibo d’accéder aux informations privées de l’utilisateur ou de les cibler pour une exploitation ultérieure.”

DJI affirme que son application est sécurisé

Dans une déclaration sur les vulnérabilités, DJI a nié avec véhémence toute «transmission de données inattendue» de ses applications. Le fabricant de drones a également déclaré qu’il n’avait pas été en mesure de reproduire certains des problèmes de confidentialité signalés lors des tests et que d’autres vulnérabilités signalées étaient des «problèmes logiciels typiques».

«Nous avons toujours donné la priorité à la sécurité de nos applications et à la confidentialité de nos clients», a déclaré DJI, dans un communiqué sur son site Web. “Les rapports récents ne contredisent pas d’autres audits tiers qui n’ont trouvé aucune transmission de données inattendue de nos applications conçues pour les clients gouvernementaux et professionnels … Ces chercheurs ont trouvé des problèmes logiciels typiques, sans aucune preuve qu’ils aient jamais été exploités.”

Les chercheurs de Synacktiv ont constaté que l’application DJI GO 4 sur la plate-forme Android ne se ferme pas lorsque l’utilisateur ferme l’application avec un glissement vers la droite. Au lieu de cela, ils ont constaté qu’un service appelé Télémétrie fourni par MapBox redémarrera l’application en arrière-plan, où elle continue de s’exécuter et d’envoyer des requêtes sur le réseau. Les chercheurs affirment que pour fermer efficacement l’application, les utilisateurs doivent plutôt mettre fin au service et fermer l’application dans les paramètres Android.

dji

DJI pour sa part a fait valoir qu’il n’avait pas été en mesure de reproduire ce comportement dans les tests jusqu’à présent: «DJI GO 4 n’est pas capable de redémarrer sans intervention de l’utilisateur, et nous cherchons à savoir pourquoi ces chercheurs affirment l’avoir fait», a déclaré la société.

Les chercheurs affirment également que l’application contient une fonction de «mise à jour automatique» qui ordonne au téléphone de l’utilisateur d’installer une mise à jour forcée ou d’installer un nouveau logiciel sur l’application. Cette fonctionnalité de «mise à jour automatique» va à l’encontre des politiques du marché officiel des applications Google Play – mais les chercheurs affirment également que l’attaquant pourrait potentiellement compromettre le serveur de «mise à jour automatique» et inciter une victime à appliquer des mises à jour d’applications malveillantes.

«Ce mécanisme est très similaire aux serveurs de commande et de contrôle rencontrés avec les malwares», ont déclaré les chercheurs. «Compte tenu des larges autorisations requises par DJI GO 4 (accès aux contacts, microphone, caméra, emplacement, stockage, modification de la connectivité réseau, etc.), les serveurs chinois DJI ou Weibo ont un contrôle presque total sur le téléphone de l’utilisateur. Cette façon de mettre à jour une application Android ou d’installer une nouvelle application est complètement différent de l’installation de modules de fonctionnalités Google ou des mises à jour d’application. “

L’application inclut la possibilité de télécharger et d’installer des applications arbitraires (avec l’approbation de l’utilisateur) via un kit de développement logiciel (SDK) fourni par la plate-forme de réseaux sociaux chinoise Weibo, ont-ils déclaré. Au cours de ce processus, le SDK de Weibo collecte également les informations privées de l’utilisateur et les transmet à Weibo, affirment les chercheurs.

DJI a soutenu que la fonction est une «technique» pour traiter les modifications non autorisées des applications de contrôle DJI et qu’elle est conçue pour aider à garantir que les mesures de sécurité de l’espace aérien sont appliquées de manière uniforme. Ils ont ajouté que les données collectées par le SDK de Weibo permettent aux clients de partager leurs photos et vidéos avec leurs amis et leur famille sur les réseaux sociaux, et le SDK n’est utilisé que lorsque les utilisateurs «l’activent de manière proactive».

«Lorsque nos systèmes détectent qu’une application DJI n’est pas la version officielle – par exemple, si elle a été modifiée pour supprimer des fonctionnalités de sécurité de vol telles que le géo-repérage ou les restrictions d’altitude – nous informons l’utilisateur et lui demandons de télécharger la version officielle la plus récente de l’application sur notre site Web », a déclaré DJI. «Dans les versions futures, les utilisateurs pourront également télécharger la version officielle sur Google Play si elle est disponible dans leur pays. Si les utilisateurs ne consentent pas à le faire, leur version non autorisée (piratée) de l’application sera désactivée pour des raisons de sécurité. »

dji

Les chercheurs affirment également que deux fonctionnalités de l’application collectent des informations invasives sur les utilisateurs de l’application, notamment les numéros de série IMSI et IMEI du téléphone, l’adresse MAC de l’interface Wi-Fi, le numéro de série de la carte SIM, etc. Les deux composants qui récupèrent les données sont le composant MobTech intégré dans les «versions récentes» de l’application Android DJI GO 4 et un SDK appelé Bugly, qui est un module de rapport de plantage dans les versions précédentes de l’application (en particulier la version 4.1.22; la version actuelle est la version 4.3.37).

«Ces données ne sont ni pertinentes ni nécessaires pour les vols de drones et vont au-delà de la politique de confidentialité de DJI», ont déclaré les chercheurs.

DJI pour sa part a déclaré que les composants MobTech et Bugly identifiés par les chercheurs avaient précédemment été supprimés des applications de contrôle de vol DJI après que des chercheurs précédents aient identifié des failles de sécurité potentielles.

«Encore une fois, rien n’indique qu’ils aient jamais été exploités et ils n’ont pas été utilisés dans les systèmes de contrôle de vol de DJI pour les clients gouvernementaux et professionnels», a déclaré DJI.

DJI a également encouragé les chercheurs à utiliser son programme de bug bounty, qui avait déjà été lancé en 2017, pour «divulguer de manière responsable les problèmes de sécurité concernant nos produits». Auparavant, le fabricant de drones a fait face à des problèmes de sécurité lorsqu’il corrigeait une faille de script intersite affectant ses forums qui aurait pu permettre à un pirate de détourner des comptes d’utilisateurs et d’accéder à des données en ligne sensibles comme les images de vol, les données de carte bancaire, les enregistrements de vol et même des images de caméra en temps réel.

Si cet article vous a plu, jetez un oeil à notre article précédent.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x