Google Play'de Çin yapımı drone uygulaması güvenlik araştırmacılarını ele geçiriyor

<pre>Google Play'de Çin yapımı drone uygulaması güvenlik araştırmacılarını ele geçiriyor


Bir DJI Phantom 4 quadcopter drone.
Büyüt / Bir DJI Phantom 4 quadcopter drone.

Araştırmacılar, kullanıcıların dronları kontrol etmesine izin veren bir uygulama olan DJI Go 4'ün son zamanlara kadar gizli kullanıcı verilerini gizlice topladığını ve geliştiricilerin seçiminin kodunu indirip yürütebileceğini söyledi. 1 milyondan fazla Google Play indirmesi olan bir program.

Uygulama, dünyanın en büyük ticari uçağı üreticisi olan Çin merkezli DJI tarafından yapılan dronlardan gerçek zamanlıya yakın video ve uçuş verilerini kontrol etmek ve toplamak için kullanılır. Play Store, 1 milyondan fazla indirmeye sahip olduğunu gösteriyor, ancak Google'ın sayıları açıklama biçimi nedeniyle, gerçek sayı 5 milyon kadar yüksek olabilir. Uygulamanın 52.000'den fazla kullanıcıdan olası toplam beşte üç buçuk yıldız derecelendirmesi var.

Çok çeşitli hassas kullanıcı verileri

İki hafta önce, güvenlik şirketi Synactive ters mühendislik uygulama. Perşembe günü, diğer güvenlik firması Grimm kendi bağımsız analizinin sonuçları. En azından, her ikisi de uygulamanın Google terimlerini süpürdüğünü ve yakın zamana kadar uygulamanın gizlice çok çeşitli hassas kullanıcı verileri topladığını ve Çin anakarasındaki sunuculara gönderdiğini buldu. En kötü senaryo, geliştiricilerin kullanıcıları gözetlemek için tanımlanması zor özellikleri kötüye kullanmasıdır.

Raporlara göre, şüpheli davranışlar şunları içeriyor:

  • Çin merkezli sosyal medya platformu Weibo tarafından sağlanan bir yazılım geliştirme kitinde, geliştiricilerin seçiminin herhangi bir uygulamasını ya kendi kendini güncelleme özelliği veya özel bir yükleyici aracılığıyla indirme ve yükleme yeteneği. Her iki özellik de Google'ın şartlarını ihlal ederek Google Play dışında kod indirebilir.
  • Yakın zamanda kaldırılmış bir bileşen, IMEI, IMSI, operatör adı, SIM seri Numarası, SD kart bilgileri, OS dili, çekirdek sürümü, ekran boyutu ve parlaklığı, kablosuz ağ adı, adres ve MAC ve Bluetooth adresleri gibi çok sayıda telefon verisi topladı. Bu ayrıntılar ve daha fazlası, uygulamanın en son sürümüne kadar kullanılan bir yazılım geliştirici kitinin üreticisi MobTech'e gönderildi.
  • Bir kullanıcı uygulamayı kapatmak için her kaydırdığında otomatik olarak yeniden başlar. Yeniden başlatmalar, uygulamanın arka planda çalışmasına ve ağ istekleri yapmaya devam etmesine neden olur.
  • Uygulamanın üçüncü taraf analizini zaman alıcı hale getiren gelişmiş gizleme teknikleri.

Bu ayın raporları ABD Ordusu'ndan üç yıl sonra geliyor DJI uçağı kullanımını yasakladı gizli kalan nedenlerden dolayı. Ocak ayında, İçişleri Bakanlığı DJI'den topraklı uçağı Endişeler dışında diğer Çinli üreticiler de anakaraya geri gönderilebilir.

DJI yetkilileri, araştırmacıların “varsayımsal güvenlik açıkları” bulduğunu ve her iki raporun da istismar edildiğine dair herhangi bir kanıt sağlamadığını söyledi.

“Bu raporlarda açıklanan uygulama güncelleme işlevi, coğrafi sınırlama veya rakım sınırlama özelliklerimizi geçersiz kılmak isteyen saldırıya uğramış uygulamaların kullanımını azaltmanın çok önemli bir güvenlik hedefine hizmet ediyor,” diyorlar. Coğrafi eskrim, Federal Havacılık İdaresi veya diğer yetkililerin drone'ların geçişini engellediği sanal bir engeldir. Dronlar, kısıtlamaları uygulamak için GPS, Bluetooth ve diğer teknolojileri kullanıyor.

Bir Google sözcüsü şirketin raporları incelediğini söyledi. Araştırmacılar, uygulamanın iOS sürümünde herhangi bir gizleme veya güncelleme mekanizması bulunmadığını söyledi.

Gizli, edinsel ve her zaman açık

Araştırmacılar, çeşitli açılardan, Android için DJI Go 4'ün botnetlerin ve kötü amaçlı yazılımların davranışlarını taklit ettiğini söyledi. Örneğin, hem otomatik güncelleme hem de otomatik yükleme bileşenleri, geliştirici tarafından belirlenmiş bir sunucuyu çağırır ve kod veya uygulamaları indirmek ve yüklemek için komutları bekler. Gizleme teknikleri, araştırmacıların gerçek amacını keşfetmelerini önlemek için kötü amaçlı yazılımlar tarafından kullanılanlara çok benziyordu. Diğer benzerlikler her zaman açık bir durum ve belirtilen uçan uçaklar için ilgili olmayan veya gerekli olmayan hassas verilerin toplanmasıydı.

Davranışı daha alakalı hale getirmek, kişileri kullanmak için gereken izinlerin genişliğidir; bunlar arasında kişilere erişim, mikrofon, kamera, konum, depolama alanı ve ağ bağlantısını değiştirme yeteneği bulunur. Araştırmacılar, bu tür yayılma izinleri, her ikisinin de devlet destekli casusluk saldırıları ile bilinen bir ülkede bulunan DJI veya Weibo sunucularının, kullanıcıların cihazları üzerinde neredeyse tam kontrole sahip olduğu anlamına geliyordu.

Her iki araştırma ekibi de uygulama yükleyicisinin gerçekten kullanıldığına dair hiçbir kanıt görmediklerini, ancak otomatik güncelleme mekanizmasının tetiklediğini gördüklerini ve DJI sunucusundan yeni bir sürüm indirdiklerini ve yüklediklerini söylediler. Her iki özellik için indirme URL'leri dinamik olarak oluşturulur, yani bunlar uzak bir sunucu tarafından sağlanır ve herhangi bir zamanda değiştirilebilir.

Her iki firmadan araştırmacılar, her iki mekanizmanın rasgele uygulamalar yüklemek için nasıl kullanılabileceğini gösteren deneyler yaptılar. Programlar otomatik olarak teslim edilirken, programlar yüklenmeden önce araştırmacıların onaylarını tıklamaları gerekiyordu.

Her iki araştırma raporu, uygulamanın aslında bireyleri hedeflediğini söylemeyi bıraktı ve her ikisi de IMSI'lerin ve diğer verilerin toplanmasının mevcut 4.3.36 sürümüyle sona erdiğini belirtti. Ancak ekipler, haksız kullanım olasılığını göz ardı etmedi. Grimm araştırmacıları şunu yazdı:

En iyi durumda senaryoda, bu özellikler yalnızca ek DJI veya Weibo uygulamaları önermek gibi kullanıcının ilgisini çekebilecek uygulamaların yasal sürümlerini yüklemek için kullanılır. Bu durumda, çok daha yaygın teknik Google Play Store uygulamasında ek uygulamayı görüntülemektir. başvurunuz içinden ona bağlantı vermek. Ardından, kullanıcı seçerse uygulamayı doğrudan Google Play Store'dan yükleyebilir. Benzer şekilde, kendi kendini güncelleyen bileşenler kullanıcılara yalnızca uygulamanın en güncel sürümünü sağlamak için kullanılabilir. Ancak, bu daha kolay gerçekleştirilebilir Google Play Store üzerinden.

En kötü durumda, bu özellikler kötü niyetli güncellemelere veya kullanıcının telefonundan yararlanmak için kullanılabilecek uygulamalara sahip belirli kullanıcıları hedeflemek için kullanılabilir. Kullanıcıların cihazlarından aldığı bilgi miktarı göz önüne alındığında, DJI veya Weibo ilgilenilen belirli hedefleri kolayca belirleyebilir. Bu hedeflerden yararlanmanın bir sonraki adımı, yeni bir uygulama önermek (Weibo SDK aracılığıyla) veya DJI uygulamasını, cihazlarından yararlanmak için özel olarak oluşturulmuş özel bir sürümle güncellemektir. Cihazlarından istifade edildikten sonra, telefondan ek bilgi toplamak, kullanıcıyı telefonun çeşitli sensörleri aracılığıyla izlemek veya telefonun WiFi ağındaki diğer cihazlara saldırmak için sıçrama tahtası olarak kullanılabilir. Bu hedefleme sistemi, bir saldırganın aşağıdakiler gibi daha gürültülü tekniklerden ziyade sömürüsü ile çok daha gizli olmasına izin verecektir. bir web sitesini ziyaret eden tüm cihazlardan yararlanma.

DJI yanıt veriyor

DJI yetkilileri bir ayrıntılı ve güçlü yanıt raporlarda ayrıntıları verilen tüm özelliklerin ve bileşenlerin yasal amaçlara hizmet ettiğini veya tek taraflı olarak kaldırıldığını ve kötü amaçlı olarak kullanılmadığını söyledi.

“Sistemlerimizi DJI müşterilerinin fotoğraflarını, videolarını ve uçuş günlüklerini nasıl paylaşacakları veya paylaşacakları üzerinde tam kontrole sahip olacakları şekilde tasarlıyoruz ve tüm drone kullanıcıları için koruma ve güven sağlayacak drone veri güvenliği için endüstri standartlarının oluşturulmasını destekliyoruz” dedi. Aşağıdaki noktadan noktaya tartışma sağladı:

  • Sistemlerimiz bir DJI uygulamasının resmi sürüm olmadığını tespit ettiğinde (örneğin, coğrafi sınırlama veya irtifa kısıtlamaları gibi kritik uçuş güvenliği özelliklerini kaldırmak için değiştirilmişse) kullanıcıyı bilgilendiririz ve onlardan en son resmi sürümünü indirmelerini isteriz. web sitemizden uygulama. Gelecek sürümlerde, kullanıcılar resmi sürümlerini ülkelerinde varsa Google Play'den de indirebilecekler. Kullanıcılar bunu kabul etmezse, uygulamanın yetkisiz (saldırıya uğramış) sürümleri güvenlik nedeniyle devre dışı bırakılır.
  • Yetkisiz değişiklikler kontrol uygulamaları var endişeyi artırmak Geçmişte ve bu teknik, kapsamlı hava sahası güvenlik önlemlerimizin tutarlı bir şekilde uygulanmasını sağlamaya yardımcı olmak için tasarlanmıştır.
  • Eğlence müşterilerimiz genellikle fotoğraflarını ve videolarını sosyal medyada arkadaşlarınızla ve ailenizle paylaşmak istedikleri için DJI, tüketici uygulamalarımızı yerel SDK'ları aracılığıyla önde gelen sosyal medya siteleriyle bütünleştirir. Bu SDK'ların güvenliği ile ilgili soruları ilgili sosyal medya hizmetlerine yönlendirmeliyiz. Ancak, SDK'nın yalnızca kullanıcılarımız proaktif olarak açtıklarında kullanıldığını lütfen unutmayın.
  • DJI GO 4 kullanıcıdan girdi olmadan kendini yeniden başlatamıyor ve bu araştırmacıların neden böyle yaptığını iddia ediyoruz. Bu davranışı şimdiye kadar testlerimizde tekrarlayamadık.
  • Bu raporlarda ana hatları çizilen varsayımsal güvenlik açıkları, proaktif olarak bizim Bug Bounty Programıburada güvenlik araştırmacıları 30.000 dolara kadar ödemeler karşılığında keşfettikleri güvenlik sorunlarını sorumlu bir şekilde açıklamaktadırlar. Tüm DJI uçuş kontrol uygulamaları herhangi bir ülkede çalışmak üzere tasarlandığından, dünyanın dört bir yanındaki araştırmacıların katkıları sayesinde yazılımımızı geliştirebildik. bu liste.
  • Bu raporlarda tanımlanan MobTech ve Bugly bileşenleri, daha önceki araştırmacılar bu raporlardaki potansiyel güvenlik kusurlarını belirledikten sonra daha önce DJI uçuş kontrol uygulamalarından çıkarılmıştı. Yine, sömürüldüklerine dair herhangi bir kanıt yoktur ve DJI’nin uçuş kontrol sistemlerinde hükümet ve profesyonel müşteriler için kullanılmamıştır.
  • DJI GO4 uygulaması öncelikle eğlence drone ürünlerimizi kontrol etmek için kullanılır. Devlet kurumları için tasarlanan DJI’nin drone ürünleri DJI’ya veri aktarmaz ve yalnızca DJI Pilot uygulamasının ticari olarak bulunmayan bir sürümüyle uyumludur. Bu insansız hava araçlarının yazılımı yalnızca çevrimdışı bir işlemle güncellenir, yani bu rapor hassas hükümet kullanımı için amaçlanan insansız hava araçlarıyla ilgisizdir. bir son güvenlik raporu Allen Hamilton bu sistemleri denetledi ve bu dronlar tarafından toplanan verilerin veya bilgilerin DJI, Çin veya herhangi bir beklenmedik partiye iletildiğine dair hiçbir kanıt bulamadı.
  • Bu, ABD tarafından yapılan incelemeleri takiben DJI ürünlerinin güvenliğinin yalnızca en son bağımsız doğrulamasıdır. Ulusal Okyanus ve Atmosfer İdaresi, ABD siber güvenlik şirketi Kivu Danışmanlık, Birleşik Devletler. İçişleri Bakanlığı ve ABD İç Güvenlik Bakanlığı.
  • DJI, drone veri güvenliği için endüstri standartlarının oluşturulması çağrısında bulundu, bu da drone kullanıcıları için güvenlik endişeleri olan uygun korumaları sağlamaya devam edeceğini umduğumuz bir süreç. Güvenliği sağlamayı amaçlayan bu tür bir özellik endişe kaynağı ise, müşteriler tarafından belirlenebilecek nesnel standartlarda ele alınmalıdır. DJI, drone kullanıcı verilerini korumaya kararlıdır, bu yüzden sistemlerimizi tasarlıyoruz, böylece drone kullanıcılarının bizimle herhangi bir veri paylaşıp paylaşmadıklarını kontrol edebilmeleri için kontrol ediyoruz. Ayrıca, hava sahasını güvende tutmak için teknoloji çözümlerine katkıda bulunmaya çalışarak güvenliğe önem veriyoruz.

Android uygulama karmaşasını unutma

Araştırma ve DJI’nin yanıtı, Google’ın mevcut uygulama satın alma sisteminin kargaşasının altını çiziyor. Etkisiz inceleme, Android'in eski sürümlerinde izin ayrıntısızlığı ve işletim sisteminin açıklığı, Play Store'da kötü amaçlı uygulamalar yayınlamayı kolaylaştırır. Aynı şeyler, kötü niyetli işlevler için meşru işlevleri yanıltmayı da kolaylaştırır.

Android için DJI Go 4 yüklü olan kullanıcılar, en azından Google araştırmanın sonuçlarını açıklayana kadar kaldırmak isteyebilir (bildirilen otomatik yeniden başlatma davranışı, uygulamanın şimdilik kullanılmasını azaltmak için yeterli olmadığı anlamına gelir). Nihayetinde, uygulamanın kullanıcıları kendilerini TikTok ile aynı konumda bulurlar. şüpheler uyandırdı, hem bazıları tarafından kabataslak kabul edilen bazı davranışlar hem de Çin merkezli ByteDance'ın mülkiyeti.

Çin ile hiçbir bağı olmayan birçok Android uygulamasının, DJI Go 4 ve TikTok ile ilişkili olanlara benzer veya daha kötü ihlaller gerçekleştirdiğinden şüphe yoktur. Güvenlik tarafında hata yapmak isteyenlerin büyük bir çoğunluğundan uzak durmaları gerekir.