L’app DJI per il sistema operativo Android raccoglie grandi quantità di informazioni personali. Lo rivela il New York Times secondo cui due società di sicurezza, che hanno diramato in due rapporti separati, segnalano la presenza di un problema di sicurezza nelle app DJI GO 4 di controllo dei droni della multinazionale cinese.
Secondo le aziende che hanno documentato il problema, la francese Synacktiv e l’americana GRIMM, il produttore di droni cinese DJI potrebbe raccogliere quantità non necessarie di informazioni dai telefoni degli utenti, presentando un potenziale problema di sicurezza.
Le due società hanno scoperto che l’app Android utilizzata per controllare i droni DJI era anche in grado di bypassare il Google Play Store, che controlla le app e gli aggiornamenti per assicurarsi che le app dello store siano sicure.
Furto di dati
Nello specifico, l’applicazione ha la possibilità di accedere ai contatti della rubrica e a risorse hardware (microfono, videocamera, GPS) con il rischio di poter dare a terzi o alla stessa DJI il controllo dello smartphone di un utente.
Secondo i ricercatori GRIMM l’applicazione sarebbe anche in grado di installare app arbitrarie sfruttando il kit di sviluppo Weibo e aggirando ancora una volta i controlli di Google. In questo modo l’applicazione condivide le informazioni personali degli utenti con Weibo e potrebbe consentire a terzi di prendere di mira gli utenti con installazioni di app dannose.
Droni e cyberspionaggio cinese
Washington da anni sospetta che i droni della multinazionale possano facilitare lo spionaggio cinese, cosa che la compagnia ha negato con veemenza.
I ricercatori hanno sottolineato che non c’erano prove che fossero state raccolte e inviate informazioni a Pechino, né che il problema tecnico fosse una backdoor intenzionale. Tuttavia l’esistenza della vulnerabilità aumenterà le preoccupazioni per i funzionari di Washington, dato che hanno lanciato accuse di spionaggio ad aziende tecnologiche cinesi negli ultimi mesi.
Dopo Tik Tok anche la multinazione dei droni DJI
Un portavoce di DJI ha affermato al NYT che i problemi erano “problemi tipici del software, senza prove che siano mai stati sfruttati“, aggiungendo che al momento “non c’erano prove di connessioni impreviste di trasmissione dati dalle app di DJI progettate per clienti governativi e professionali“. Inoltre l’azienda ha dichiarato che i bug trovati su app che utilizzano dispositivi DJI GO4 non sono venduti per uso governativo.
Gli Stati Uniti hanno intensificato il loro assalto alle compagnie cinesi negli ultimi mesi, sostenendo che il Partito Comunista potrebbe sfruttare le debolezze del software, forse inconsapevolmente verso le aziende stesse, per trovare informazioni su utenti stranieri. Washington questa settimana ha affermato che il popolare social network TikTok sia uno strumento in mano a Pechino per spiare e rubare i dati di milioni di americani.
