27/07/2020

27/07/2020

App Android da DJI é segura?


Investigadores partilharam as suas suspeitas sobre a app oficial de controlo de drones da DJI para Android, DJI Go 4, dizendo que recolhe dados excessivos que são enviados para a China e que tem capacidades semelhantes à de malware.


Uma empresa de segurança analisou a app DJI Go 4 e diz que a mesma levanta inúmeras questões quanto à privacidade e segurança. A app fazia a recolha de toda uma série de dados do equipamento, que eram enviadas para a China (sendo isso feito por um SDK que entretanto a DJIO já removeu), a par de código obfuscado que dificulta a sua análise (como muito malware faz), e a capacidade de fazer o download e instalação de código sem passar pela Play Store.

Lido sem contexto, parece realmente uma série de questões preocupantes, mas que na prática têm respostas simples - se se quiser confiar na DJI, que já veio dar resposta a todos os pontos enumerados. A obfuscação do código e capacidade de download e actualização directa é utilizada para combater a utilização de versões modificadas da app, que tentam contornar as limitações de voo dos drones (por exemplo, em locais restritos como perto de aeroportos); outras questões têm a ver com a utilização de SDKs de integração com as redes sociais, sendo esses os responsáveis por recolher e enviar dados; e quanto às insinuações de "espionagem", a DJI refere que os drones para uso governamental tem firmware especial que nem transmite dados, e também uma app de controlo especial, não disponível para o público, e que é auditada de forma independente. Os investigadores acusavam também que a app se reactivava automaticamente quando se tentava encerrá-la, mas a DJI diz não ter conseguido replicar esse comportamento.

A DJI relembra ainda que tem feito todos os esforços para a criação de standards de segurança para os drones, que protejam a privacidade dos utilizadores e garantam que os mesmos só podem funcionar nos locais adequados.

Penso que seria "suícidio comercial" a DJI tentar fazer espionagem com a sua app, sabendo que seria uma questão de tempo para que isso fosse descoberto e arruinasse a sua reputação. Dito isto, é bom que haja empresas e pessoas individuais a investigar o funcionamento interno das apps e a levantar as questões necessárias, para que sejam devidamente explicadas.


P.S. Muitas das questões levantadas pelos investigadores não se aplicam à versão para iOS, pois o sistema impede desde logo muitos dos supostos abusos.

0 comments:

Publicar um comentário