Производитель дронов DJI собирает пользовательские данные

Фирменное приложение компании для управления дронами обладает скрытыми функциями обновления, собирает не нужные для работы данные и поддерживает постоянную связь с серверами. К таким выводам пришла французская компания Synacktiv, занимающая вопросами кибербезопасности. Специалисты компании провели реверс-инжиниринг приложения DJI ANDROID GO 4, с помощью которого происходит управления дронами DJI. В ходе проверки было выявлено несколько фактов, которые значительно повышают риски утечки и неправомерного использования пользовательских данных:

• Приложение DJI GO 4, вопреки заявлениям разработчиков, использует методы скрытия исходного кода и принципов работы, которые обычно применяются вредоносными программами;
• Приложение находится на постоянной связи с серверами компаниями, ожидая команды на принудительное обновление или установку нового программного обеспечения. Метод, используемый DJI, позволяет обойти стандартные способы установки приложений Google и установить APK-файл, не проверенный механизмами Google Store;
• Встроенный компонент MobTech собирает персональную информацию о смартфоне и пользователе, включая IMSI (International Mobile Subscriber Identity), IMEI, серийный номер SIM-карты и другие. Такие данные не требуются для управления полётом дрона и нарушают собственную политики конфиденциальности DJI;
• Приложение не закрывается стандартным методом сдвига вправо, продолжая работать в фоновом режиме и делая сетевые запросы;

При этом само приложение требует от пользователя доступ практически ко всем функциям смартфона (звонки, видео, звук, сетевое подключение). Потенциально это означает, что с серверов, на которые обращается DJI, можно управлять устройством пользователя. В связи с этим Synacktiv не рекомендует использовать фирменное приложение в сферах, где необходимо обеспечение хотя бы минимального уровня безопасности. Ссылка на источник