Catégories
Drones & Tech

DJI répond aux rapports de problèmes potentiels de sécurité de l'application Go

Problèmes de sécurité de l'application DJI GoLes rapports de problèmes de sécurité de l'application DJI Go sont-ils exagérés ou sont-ils préoccupants?

Par Jim Magill, rédacteur de DRONELIFE

Deux études connexes, publiées la semaine dernière par une paire de sociétés de cybersécurité, prétendent révéler des failles potentielles dans un système logiciel d'exploitation de vol DJI, qui, selon les chercheurs, pourrait être exploité «pour cibler des utilisateurs spécifiques avec des mises à jour ou des applications malveillantes qui pourraient être utilisées pour exploiter le téléphone de l'utilisateur. "

Dans sa réponse, DJI a déclaré que les rapports "ont révélé des problèmes logiciels typiques, sans aucune preuve qu'ils aient jamais été exploités." Les rapports ne sont que le dernier exemple de problèmes de sécurité soulevés au sujet de la société chinoise de fabrication et de logiciels de drones, qui est depuis un certain temps sous examen par les législateurs et les membres de l'administration actuelle à Washington.

Problèmes de sécurité de l'application DJI Go

Dans un article de blog, la société de cybersécurité GRIMM a publié ses conclusions sur les problèmes potentiels de confidentialité des drones DJI dans l'application Android DJI GO 4. Les chercheurs du GRIMM se sont associés à la société de sécurité informatique Synacktiv, qui a effectué une analyse dynamique et statique approfondie de l'application.

GRIMM a trouvé que l'application DJI GO 4 «contient une fonction d'auto-mise à jour qui contourne le Google Play Store» et permet aux utilisateurs de drones de télécharger et d'installer des applications via le kit de développement logiciel (SDK) Weibo. «Au cours de ce processus, le kit de développement logiciel Weibo collecte également les informations privées de l’utilisateur et les transmet à Weibo», indique le rapport.

Le volume de données utilisateur à la disposition de DJI et Weibo pourrait rendre l'utilisateur du drone vulnérable au piratage par un acteur malveillant, qui «pourrait tenter de compromettre les serveurs de DJI et de Weibo pour exploiter eux-mêmes cette fonctionnalité», indique le rapport.

En outre, le rapport GRIMM note également que l'application DJI GO 4 redémarre d'elle-même, après que l'utilisateur du drone tente de la fermer, ce qui lui permet de continuer à fonctionner en arrière-plan même si l'utilisateur peut croire que l'application est fermée.

«L'application DJI GO 4 contient plusieurs fonctionnalités suspectes ainsi qu'un certain nombre de techniques anti-analyse, introuvables dans d'autres applications utilisant les mêmes SDK», note le rapport.

Dans sa déclaration, DJI a déclaré: «Les vulnérabilités hypothétiques décrites dans ces rapports sont mieux caractérisées comme des bogues potentiels.»

Le développeur de drones a déclaré qu'il avait mis en place des sauvegardes pour empêcher le téléchargement d'une version non officielle ou «piratée» de l'une de ses applications. Lorsqu'il détecte des versions piratées d'une application DJI – par exemple si l'application a été modifiée pour supprimer des fonctionnalités de sécurité de vol, telles que les restrictions d'altitude – l'entreprise informera l'utilisateur et exigera le téléchargement de la version officielle la plus récente de l'application à partir du Site Web DJI.

Si l'utilisateur n'accepte pas, DJI a déclaré qu'il désactiverait la version piratée de l'application.

Dans tous les cas, étant donné que l'application DJI GO4 est principalement utilisée pour le vol de ses drones de loisirs, les vulnérabilités potentielles décrites dans les deux rapports ne s'étendent pas aux drones utilisés par les agences gouvernementales, a déclaré la société. «Les drones DJI conçus pour les agences gouvernementales ne transmettent pas de données à DJI et ne sont compatibles qu'avec une version non disponible dans le commerce de l'application DJI Pilot.»

Pour ses drones récréatifs qui utilisent l'application DJI GO4, DJI a déclaré qu'il intégrait ses applications grand public avec les principaux sites de médias sociaux via les SDK de ces sites. Il a renvoyé des questions sur la sécurité des SDK à leurs services de médias sociaux respectifs. «Cependant, veuillez noter que le SDK n'est utilisé que lorsque nos utilisateurs l'activent de manière proactive», a déclaré DJI.

La société a également contesté la conclusion des entreprises de cybersécurité selon laquelle DJI GO 4 était capable de redémarrer après avoir été fermé par l'utilisateur. «Nous cherchons à savoir pourquoi ces chercheurs affirment qu'il l'a fait. Nous n'avons pas été en mesure de reproduire ce comportement dans nos tests jusqu'à présent », a déclaré DJI.

«Nous concevons nos systèmes de manière à ce que les clients de DJI aient un contrôle total sur la manière de partager ou non leurs photos, vidéos et journaux de vol, et nous soutenons la création de normes de l'industrie pour la sécurité des données des drones qui fourniront protection et confiance à tous les utilisateurs de drones.»

Au cours des dernières années, DJI et d'autres sociétés de drones basées en Chine ont été confrontées à de nombreuses questions sur la sécurité des données collectées auprès des utilisateurs. Plusieurs projets de loi ont été déposés au Congrès pour limiter l'utilisation par les agences fédérales de drones fabriqués ou contenant des composants produits en Chine. Plus tôt cette année, le département américain de l'intérieur (DOI) a mis à la terre toutes les opérations non urgentes pour l'ensemble de sa flotte de 800 drones, invoquant des risques de sécurité potentiels.

DJI, dont les drones représentaient une petite partie de la flotte de DOI, a fustigé le mouvement, "qui traite de manière inappropriée le pays d'origine d'une technologie comme un test décisif pour ses performances, sa sécurité et sa fiabilité."

Dans une interview, le porte-parole de DJI, Michael Oldenburg, a déclaré qu'au lieu d'instituer un soi-disant système de réglementation des drones par pays d'origine, les États-Unis devraient établir un ensemble national de règles régissant la cybersécurité de tous les systèmes aériens sans pilote. «Nous préconisons que pour rendre les choses plus sûres – et ce n'est pas seulement pour les drones DJI, mais aussi pour les drones de tous les fabricants – il devrait y avoir des directives et des normes claires et transparentes que ces fabricants s'assurent que leurs produits respectent», a-t-il déclaré.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *