DJI suspeita de coletar dados pessoais de usuários por meio de um aplicativo Android para controle de drones

Especialistas em segurança digital dos Estados Unidos e da Europa investigaram e encontraram uma vulnerabilidade no aplicativo que controla drones voadores da empresa chinesa Da Jiang Innovations (DJI). Este último, a propósito, é o maior fabricante mundial de tais equipamentos.

Especialistas da empresa francesa Synacktiv e da American GRIMM prepararam relatórios de que o aplicativo DJI Go para o sistema operacional móvel Android, usado para controlar os drones da DJI, coleta informações pessoais dos proprietários. Posteriormente, esses dados podem ser usados ​​pelo governo chinês.

Os especialistas observam que o problema não está apenas na coleta de informações. É indicado que a DJI pode atualizar seu aplicativo ignorando o Google, que geralmente verifica todas as alterações antes de irem para a Play Store. Assim, a DJI pode violar o acordo do Google para desenvolvedores de aplicativos, observam os pesquisadores. É difícil para o usuário determinar as alterações feitas no software. No entanto, mesmo que o aplicativo não esteja ativo, ele está aguardando comandos de um servidor remoto, dizem os especialistas.

«O telefone tem acesso a tudo o que um drone faz, no entanto, as informações sobre as quais estamos falando são informações sobre o próprio telefone. Não entendemos por que a DJI precisa acessar esses dados “, disse Tiphaine Romand-Latapie, engenheiro da Synacktiv.

Ao mesmo tempo, o especialista acrescenta que não pode chamar essa vulnerabilidade de segurança de um verdadeiro backdoor para hackers, permitindo que eles obtenham acesso ao telefone do proprietário do drone. Os representantes da DJI, por sua vez, disseram que estão usando esse método de atualização do aplicativo para que os entusiastas não possam invadir, alterar e usá-lo ignorando as regulamentações governamentais que limitam o alcance e a altitude dos voos com drones.

«Essa medida de segurança, usada em um de nossos aplicativos de controle de drones para Android, impede que uma versão jailbroken do aplicativo seja usada para ignorar nossos recursos de segurança, como altitude máxima e geofencing ”, disse o porta-voz da DJI Brendan Schulman.

Segundo ele, se o sistema detectar um aplicativo hackeado, o usuário é imediatamente direcionado ao site oficial da empresa, onde pode baixar a versão oficial do software. O representante da empresa também acrescentou que esse recurso está ausente em produtos de software usados ​​por clientes corporativos e agências governamentais.

O Google estudará os relatórios fornecidos por especialistas em segurança digital. Os especialistas da Synacktiv, por sua vez, observam que não encontraram recursos semelhantes na atualização do aplicativo na App Store chinesa para dispositivos em execução no sistema operacional iOS da Apple.

Especialistas sugerem que o método de atualização de um aplicativo Android, onde o usuário é direcionado para o site do fabricante do drone, provavelmente se deve ao fato de o governo chinês estar bloqueando o Google e seus serviços no país. Assim, os desenvolvedores de aplicativos são literalmente forçados a resolver independentemente o problema de suas atualizações.

Segundo o New York Times, a investigação foi encomendada por terceiros. Os especialistas em segurança não nomeiam seus clientes, mas indicam que no passado eles colaboraram com várias empresas aeroespaciais, além de outros fabricantes de drones que podem ser potenciais concorrentes da DJI.

A fabricante chinesa de drones DJI, como muitos outros fabricantes chineses de sucesso, em meio à guerra comercial entre os EUA e a China, há muito atrai a atenção do governo dos EUA. Por exemplo, o Pentágono impôs uma proibição do uso de drones DJI por seus funcionários. Em janeiro deste ano, o Departamento do Interior dos EUA (DOI) abandonou o uso de produtos do fabricante chinês devido a preocupações com sua segurança. Durante meses, as autoridades americanas vêm fazendo declarações sobre o possível uso de falhas técnicas nos dispositivos voadores controlados por rádio do fabricante chinês pelo governo de Pequim. No nível federal, seu uso foi realmente proibido, mas as autoridades locais não fizeram essas alterações em seus documentos regulatórios.

«Todas as empresas de tecnologia chinesas, de acordo com a lei chinesa, são obrigadas, a pedido do governo, a fornecer qualquer informação que recebam dos usuários e armazená-la ”, afirmou o chefe do Executivo Nacional de Contra-Inteligência (NCIX).

A DJI, por sua vez, disse que as decisões tomadas pelo lado americano foram motivadas pela política, e não pela possível vulnerabilidade de seu software.