Vulnérabilités ou fonctionnalités? Dissection de l’application DJI GO 4

Vulnérabilités ou fonctionnalités? Dissection de l’application DJI GO 4

juillet 27, 2020 0 Par Cyprien

Nos amis d’Android Authority ont récemment rendu compte des résultats de certaines recherches effectuées sur l’application DJI GO 4. Les résultats peuvent sembler alarmants au début, mais nous vous exhortons à garder la tête froide jusqu’à ce que vous obteniez tous les faits.

Drone Rush notre philosophie

Comme signalé:

L’une des applications de drone les plus populaires sur le Google Play Store comprend des fonctionnalités de backend inquiétantes, selon deux rapports indépendants capturés par Ars Technica. Après la rétro-ingénierie de l’application DJI Go 4, les sociétés de sécurité Synacktiv et Grimm ont constaté que le logiciel enfreignait au mieux les politiques du Play Store de Google et, au pire, aurait pu être utilisé pour espionner les utilisateurs de l’entreprise. DJI est l’un des fabricants de drones commerciaux les plus importants et les plus prospères au monde. Sur la base des métriques du Play Store disponibles au public, l’application DJI Go 4 compte au moins 1 million d’installations et jusqu’à 5 millions.

L’un des aspects les plus suspects de l’application est qu’elle peut installer n’importe quelle application sur l’appareil de l’utilisateur via une fonction de mise à jour automatique ou un programme d’installation dédié fourni par le géant chinois des médias sociaux Weibo. Les deux peuvent télécharger du code depuis l’extérieur du Play Store, un aspect de leur conception qui enfreint directement les politiques de Google.

De plus, une version précédente de l’application comprenait un composant qui collectait et envoyait diverses données sensibles à MobTech, un développeur de SDK basé en Chine continentale. Certaines des informations auxquelles la fonctionnalité avait accès étaient l’IMEI du téléphone, le numéro de série de la carte SIM, les informations de la carte SD, les adresses Bluetooth, etc. DJI a supprimé cette fonctionnalité avec la version la plus récente de l’application DJI Go 4.

PX4-DroneCode-stand-logo1

Un porte-parole de DJI a déclaré Ars Technica ce que les chercheurs ont découvert étaient des «vulnérabilités hypothétiques» sans fournir aucune preuve qu’elles aient jamais été exploitées.

«La fonction de mise à jour des applications décrite dans ces rapports sert l’objectif de sécurité très important qui consiste à limiter l’utilisation d’applications piratées qui cherchent à remplacer nos fonctionnalités de géorepérage ou de limitation d’altitude», a déclaré un porte-parole de la société. La géolocalisation est une fonctionnalité logicielle des autorités comme le mandat de la Federal Aviation Administration (FAA) d’empêcher les gens de faire voler leurs drones dans un espace aérien restreint. DJI a par la suite publié une déclaration plus détaillée dans laquelle il tente de répondre à bon nombre des préoccupations soulevées par les rapports. Nous vous exhortons à lire cette déclaration complète avant de vous inquiéter trop.

Plus particulièrement, l’entreprise affirme que son application ne redémarre pas sans la contribution des utilisateurs. « Nous n’avons pas été en mesure de reproduire ce comportement dans nos tests jusqu’à présent », a déclaré DJI. Il a également déclaré avoir récemment supprimé les composants MobTech et Bugly que l’application présentait auparavant après qu’un rapport précédent ait trouvé des problèmes avec ces SDK.

Google, pour sa part, a déclaré qu’il examinait les rapports.

En défense de DJI

Salut les gars, Jonathan ici, votre sympathique éditeur de Drone Rush de quartier. Nous savons tous qu’il y a deux côtés à chaque histoire, et c’est l’une de ces histoires. Bien que nous n’ayons pas approfondi nous-mêmes le code de l’application DJI, nous avons quelques informations qui pourraient vous aider à apaiser vos craintes. Je suis ici pour vous dire que les choses ne sont pas aussi mauvaises qu’elles en ont l’air.

TLDR:

  • C’est la continuation d’une attaque politique contre DJI.
  • S’agit-il de vulnérabilités ou de fonctionnalités?
  • DJI vient de Chine, mais il en va de même pour de nombreuses applications et jeux que vous utilisez déjà.

Tout d’abord, nous admettons que DJI est basé à Shenzhen, en Chine. À ce titre, ils sont légalement tenus de mettre leurs serveurs à la disposition du gouvernement sur demande. Cela est vrai pour toutes les marques chinoises. Nous ne disons pas que vous devriez faire confiance au gouvernement chinois avec vos données personnelles, mais si vous voulez boycotter DJI, vous pourriez envisager de boycotter toutes les marques chinoises, pas seulement DJI.

En raison de la construction du Play Store et d’autres limitations imposées par le gouvernement chinois, DJI a trouvé un moyen de garantir que votre drone fonctionne avec une efficacité maximale et dans le respect des lois. L’un des «trous» de l’application DJI GO 4 est la possibilité de télécharger des données qui n’ont pas été pré-approuvées par l’App Store. Ces téléchargements sont des mises à jour de firmware pour votre drone et des cartes. Saviez-vous que votre drone DJI comprend une technologie de géolocalisation pilotée par GPS pour vous empêcher de voler dans des endroits interdits par la loi?

DJI souligne également qu’ils effectuent une auto-vérification de validation sur l’application avant de voler. En gardant à l’esprit la sécurité des vols et en tenant compte des lois de chaque pays du monde, DJI s’assure que vous n’utilisez pas une version piratée de leur application. Vous pouvez télécharger des applications tierces pour piloter votre drone DJI, mais si quelque chose ne va pas, DJI s’assure que ce n’est pas à cause d’elles.

Quelque chose que vous n’avez peut-être pas encore appris, lorsque vous pilotez votre drone, n’utilisez pas votre téléphone de conducteur quotidien. Aux États-Unis, si vous enfreignez les lois du ciel, la FAA et / ou les forces de l’ordre peuvent confisquer votre drone et les bits que vous utilisez pour le faire voler. Protégez votre conducteur quotidien et vos données personnelles en utilisant un appareil secondaire pour piloter votre drone. S’il est vrai que l’application DJI GO 4 peut récupérer vos données sur l’appareil, vous limitez également cette exposition.

Saviez-vous que le gouvernement américain a commandé et approuvé un ensemble de drones DJI pour une utilisation officielle? Les drones DJI Government Edition sont équipés d’un cryptage de données et de connexion pour garder vos opérations privées. Pour les drones Government Edition, et pour votre drone DJI grand public à la maison, vous pouvez également désactiver vos connexions de données pendant toute la durée de votre vol. Vous devrez toujours activer le GPS pour votre vol, mais vous pouvez télécharger en toute sécurité toutes vos données de vol avant de reconnecter le smartphone à Internet, empêchant au moins l’une de vos données de vol de se retrouver sur les serveurs de DJI.

En savoir plus sur la confidentialité avec les drones DJI:

Enfin, nous assistons à une tendance politique inquiétante (mais très courante) dont nous pensons que vous devriez être conscient: eh bien, c’est un peu en fait, ce n’est pas la première attaque politique que nous ayons vue contre DJI. En mai, une affaire de brevet légèrement ridicule a menacé de retirer la plupart des drones DJI des étagères des magasins aux États-Unis. Ce n’est pas encore résolu, mais le détenteur du brevet, Autel Robotics, revendique un brevet couvrant les drones selon lequel «les pales du rotor peuvent être facilement détachées pour le transport» et «les pieds peuvent également être pliés pour le stockage.» Non, nous ne les avons pas rédigés comme des déclarations génériques pour cet article, l’USPTO a en fait à nouveau accordé un brevet pour un «rectangle aux coins arrondis». Grrr.

Avis DJI Mavic Air

Quoi qu’il en soit, Autel Robotics essaie très fort de ressembler à une entreprise américaine locale, qui cherche à protéger le pays des méchants envahisseurs chinois, mais Autel Robotics est en fait une marque chinoise. Ont-ils oublié de mentionner qu’ils ont commencé à Shenzhen, en Chine, et qu’ils se battent contre DJI depuis des années maintenant? Autel Robotics a publié une citation amusante sur une affaire plus ancienne en Chine contre laquelle ils se battaient: « Nous avons intenté une action en justice uniquement parce que DJI menace la survie de l’entreprise. »

Lire la suite: Les internautes chinois bouleversés par la bataille juridique entre les entreprises de drones locales
(Fait amusant, c’est moi en arrière-plan de leur image, de l’événement de lancement des drones DJI Mavic 2.)

Nous ne disons pas que vous devriez faire confiance à DJI, mais sachez qu’il s’agit de l’une des milliers d’applications qui ont des serveurs en Chine, et que leur objectif a toujours été de devenir le premier fabricant de drones de la planète. Ils ont atteint la première place, mais même les meilleurs font des erreurs de temps en temps. Les scientifiques d’Isla Nublar ont découvert comment faire pousser des dinosaures vivants, et les ingénieurs de DJI ont compris comment faire en sorte que leur application fasse ce dont ils avaient besoin pour que vous puissiez voler en toute sécurité et légalement.