App da DJI para Android tem segurança questionada por pesquisadores
O DJI Go 4.0 é responsável pelo controle de drones como Phantom 4, Mavic Mini, Mavic Pro, Mavic Air, Spark e até o Inspire 2
O DJI Go 4.0 é responsável pelo controle de drones como Phantom 4, Mavic Mini, Mavic Pro, Mavic Air, Spark e até o Inspire 2
Duas pesquisas realizadas por duas empresas distintas apontam que o app DJI Go 4.0 coleta e envia alguns dados importantes sobre o Android que tem ele instalado. Os pesquisadores afirmam que o programa é capaz de instalar qualquer outro app, além de conseguir coletar informações do aparelho como IMEI.
O mundo dos apps para controlar drones da DJI é uma bagunça generosa, com quatro opções que vão variar de acordo com o modelo que o usuário tem. Um deles, o DJI Go 4.0, aparentemente vem fazendo mais do que apenas permitindo o controle da aeronave, junto da posição atual do aparelho para ajudar na hora de encontrar a rota até o dono.
A afirmação vem de duas pesquisas de duas empresas diferentes: Synacktiv e Grimm. Segundo os relatórios, dados do aparelho como IMEI, nome da operadora, número de série do SIM Card, informações sobre o cartão de memória, idioma do sistema operacional, versão do kernel, tamanho e brilho da tela, nome da rede Wi-Fi, além de detalhes do Bluetooth e do MAC Adress eram coletados e enviados para servidores do desenvolvedor do app.
Um recurso interno do programa faz com que atualizações de mapas e firmware sejam baixadas de outros servidores, mas que também permite o download de aplicativos por fora da Play Store, o que viola os termos de uso da loja de apps do Android. Por fim, toda vez que o usuário fechava o app manualmente na tela de multitarefa, ele era reiniciado de forma automática e continuava o trabalho de coleta das informações.
As pesquisas também garantem que boa parte da mineração feita no aparelho não acontece mais na versão 4.3.3.36 do app na Play Store. A DJI respondeu ao conteúdo das duas pesquisas, afirmando que alguns recursos encontrados são utilizados para fins legítimos, enquanto que outras falhas já foram removidas.
Sobre o download de apps por fora da Play Store, a fabricante afirma que o sistema (não disse qual, mas certamente do drone e do controle) detecta se o app que está tentando decolar a aeronave está na versão correta – ou se é uma versão hackeada para evitar os bloqueios regionais, como voar perto de aeroporto. Encontrando inconformidade, o usuário é convidado a baixar o app certo a partir de um servidor da DJI. A empresa prometeu que mudará este caminho, levando o download para a Play Store.
Com informações: ArsTechnica.