L’application de drone fabriquée en Chine dans Google Play effraie les chercheurs en sécurité

0
223


Agrandir / Un drone quadricoptère DJI Phantom 4.


La version Android de DJI Go 4 – une application qui permet aux utilisateurs de contrôler les drones – a jusqu’à récemment collecté secrètement des données utilisateur sensibles et peut télécharger et exécuter du code au choix des développeurs, ont déclaré des chercheurs dans deux rapports qui remettent en question la sécurité et la fiabilité d’un programme avec plus d’un million de téléchargements sur Google Play.

L’application est utilisée pour contrôler et collecter des données vidéo et de vol en temps quasi réel à partir de drones fabriqués par DJI, le plus grand fabricant mondial de drones commerciaux, basé en Chine. Le Play Store montre qu’il compte plus d’un million de téléchargements, mais en raison de la manière dont Google divulgue les chiffres, le nombre réel pourrait atteindre 5 millions. L’application a une note de trois étoiles et demie sur un total possible de cinq sur plus de 52 000 utilisateurs.

Large éventail de données utilisateur sensibles

Il y a deux semaines, la société de sécurité Synactive a procédé à une rétro-ingénierie de l’application. Jeudi, la firme de sécurité Grimm a publié les résultats de sa propre analyse indépendante. Au minimum, les deux ont constaté que l’application contournait les termes de Google et que, jusqu’à récemment, l’application collectait secrètement un large éventail de données utilisateur sensibles et les envoyait à des serveurs situés en Chine continentale. Dans le pire des cas, les développeurs abusent de fonctionnalités difficiles à identifier pour espionner les utilisateurs.

Selon les rapports, les comportements suspects comprennent:

  • La possibilité de télécharger et d’installer n’importe quelle application du choix des développeurs via une fonction de mise à jour automatique ou un programme d’installation dédié dans un kit de développement logiciel fourni par la plate-forme de médias sociaux basée en Chine Weibo. Les deux fonctionnalités pourraient télécharger du code en dehors de Play, en violation des conditions de Google.
  • Un composant récemment supprimé qui a collecté une multitude de données de téléphone, notamment IMEI, IMSI, le nom de l’opérateur, le numéro de série SIM, les informations de la carte SD, la langue du système d’exploitation, la version du noyau, la taille et la luminosité de l’écran, le nom du réseau sans fil, l’adresse et MAC, et les adresses Bluetooth. Ces détails et bien d’autres ont été envoyés à MobTech, fabricant d’un kit de développement logiciel utilisé jusqu’à la dernière version de l’application.
  • Redémarre automatiquement chaque fois qu’un utilisateur a glissé l’application pour la fermer. Les redémarrages provoquent l’exécution de l’application en arrière-plan et continuent à faire des requêtes réseau.
  • Techniques d’obfuscation avancées qui nécessitent une analyse tierce de l’application.

Les rapports de ce mois-ci interviennent trois ans après que l’armée américaine ait interdit l’utilisation des drones DJI pour des raisons qui restent confidentielles. En janvier, le ministère de l’Intérieur a mis à la terre des drones de DJI et d’autres fabricants chinois par crainte que les données ne soient renvoyées sur le continent.

Les responsables de DJI ont déclaré que les chercheurs avaient trouvé des «vulnérabilités hypothétiques» et qu’aucun des rapports ne fournissait la moindre preuve qu’ils aient jamais été exploités.

«La fonction de mise à jour des applications décrite dans ces rapports sert l’objectif de sécurité très important de limiter l’utilisation des applications piratées qui cherchent à remplacer nos fonctionnalités de géorepérage ou de limitation d’altitude», ont-ils écrit dans un communiqué. La géolocalisation est une barrière virtuelle que la Federal Aviation Administration ou d’autres autorités empêchent les drones de franchir. Les drones utilisent le GPS, le Bluetooth et d’autres technologies pour appliquer les restrictions.

Un porte-parole de Google a déclaré que la société examinait les rapports. Les chercheurs ont déclaré que la version iOS de l’application ne contenait aucun mécanisme d’obfuscation ou de mise à jour.

Obfusqué, acquisitif et toujours actif

À plusieurs égards, ont déclaré les chercheurs, DJI Go 4 pour Android imitait le comportement des botnets et des logiciels malveillants. Les composants d’auto-mise à jour et d’installation automatique, par exemple, appellent un serveur désigné par le développeur et attendent des commandes pour télécharger et installer du code ou des applications. Les techniques d’obfuscation ressemblaient étroitement à celles utilisées par les logiciels malveillants pour empêcher les chercheurs de découvrir son véritable objectif. D’autres similitudes étaient un statut permanent et la collecte de données sensibles qui n’étaient pas pertinentes ou nécessaires pour l’objectif déclaré de faire voler des drones.

L’ampleur des autorisations requises pour utiliser l’application, qui comprend l’accès aux contacts, au microphone, à la caméra, à l’emplacement, au stockage et à la possibilité de modifier la connectivité réseau, rend le comportement plus préoccupant. De telles autorisations tentaculaires signifiaient que les serveurs de DJI ou de Weibo, tous deux situés dans un pays connu pour son piratage d’espionnage parrainé par le gouvernement, avaient un contrôle presque total sur les appareils des utilisateurs, ont déclaré les chercheurs.

Les deux équipes de recherche ont déclaré n’avoir vu aucune preuve que le programme d’installation de l’application avait été réellement utilisé, mais elles ont vu le mécanisme de mise à jour automatique se déclencher et télécharger une nouvelle version à partir du serveur DJI et l’installer. Les URL de téléchargement des deux fonctionnalités sont générées dynamiquement, ce qui signifie qu’elles sont fournies par un serveur distant et peuvent être modifiées à tout moment.

Les chercheurs des deux entreprises ont mené des expériences qui ont montré comment les deux mécanismes pouvaient être utilisés pour installer des applications arbitraires. Alors que les programmes étaient livrés automatiquement, les chercheurs devaient tout de même cliquer sur leur approbation avant que les programmes puissent être installés.

Les deux rapports de recherche se sont arrêtés avant de dire que l’application ciblait réellement des personnes, et tous deux ont noté que la collecte des IMSI et d’autres données avait pris fin avec la publication de la version actuelle 4.3.36. Les équipes, cependant, n’ont pas exclu la possibilité d’utilisations néfastes. Les chercheurs de Grimm ont écrit:

Dans le meilleur des cas, ces fonctionnalités ne sont utilisées que pour installer des versions légitimes d’applications susceptibles d’intéresser l’utilisateur, telles que la suggestion d’applications DJI ou Weibo supplémentaires. Dans ce cas, la technique beaucoup plus courante consiste à afficher l’application supplémentaire dans l’application Google Play Store en établissant un lien vers celle-ci depuis votre application. Ensuite, si l’utilisateur le souhaite, il peut installer l’application directement depuis le Google Play Store. De même, les composants d’auto-mise à jour ne peuvent être utilisés que pour fournir aux utilisateurs la version la plus à jour de l’application. Cependant, cela peut être plus facilement accompli via le Google Play Store.

Dans le pire des cas, ces fonctionnalités peuvent être utilisées pour cibler des utilisateurs spécifiques avec des mises à jour ou des applications malveillantes qui pourraient être utilisées pour exploiter le téléphone de l’utilisateur. Compte tenu de la quantité d’informations sur les utilisateurs récupérées sur leur appareil, DJI ou Weibo serait facilement en mesure d’identifier des cibles spécifiques d’intérêt. La prochaine étape dans l’exploitation de ces cibles serait de suggérer une nouvelle application (via le SDK Weibo) ou de mettre à jour l’application DJI avec une version personnalisée conçue spécifiquement pour exploiter leur appareil. Une fois leur appareil exploité, il pourrait être utilisé pour collecter des informations supplémentaires sur le téléphone, suivre l’utilisateur via les différents capteurs du téléphone, ou servir de tremplin pour attaquer d’autres appareils sur le réseau WiFi du téléphone. Ce système de ciblage permettrait à un attaquant d’être beaucoup plus furtif dans son exploitation, plutôt que des techniques beaucoup plus bruyantes, telles que l’exploitation de tous les appareils visitant un site Web.

DJI répond

Les responsables de DJI ont publié une réponse exhaustive et vigoureuse selon laquelle toutes les fonctionnalités et tous les composants détaillés dans les rapports servaient à des fins légitimes ou avaient été supprimés unilatéralement et n’étaient pas utilisés à des fins malveillantes.

«Nous concevons nos systèmes de manière à ce que les clients DJI aient un contrôle total sur la manière de partager ou non leurs photos, vidéos et journaux de vol, et nous soutenons la création de normes de l’industrie pour la sécurité des données des drones qui fourniront protection et confiance à tous les utilisateurs de drones», déclaration a dit. Il a fourni la discussion point par point suivante:

  • Lorsque nos systèmes détectent qu’une application DJI n’est pas la version officielle – par exemple, si elle a été modifiée pour supprimer des fonctionnalités de sécurité de vol critiques telles que le géorepérage ou les restrictions d’altitude – nous informons l’utilisateur et lui demandons de télécharger la version officielle la plus récente du application de notre site Web. Dans les versions futures, les utilisateurs pourront également télécharger la version officielle de Google Play si elle est disponible dans leur pays. Si les utilisateurs ne consentent pas à le faire, leur version non autorisée (piratée) de l’application sera désactivée pour des raisons de sécurité.
  • Les modifications non autorisées des applications de contrôle DJI ont soulevé des inquiétudes dans le passé, et cette technique est conçue pour aider à garantir que nos mesures complètes de sécurité de l’espace aérien sont appliquées de manière cohérente.
  • Parce que nos clients récréatifs souhaitent souvent partager leurs photos et vidéos avec leurs amis et leur famille sur les réseaux sociaux, DJI intègre nos applications grand public aux principaux sites de réseaux sociaux via leurs SDK natifs. Nous devons adresser les questions sur la sécurité de ces SDK à leurs services de médias sociaux respectifs. Cependant, veuillez noter que le SDK n’est utilisé que lorsque nos utilisateurs l’activent de manière proactive.
  • DJI GO 4 n’est pas en mesure de redémarrer sans intervention de l’utilisateur, et nous étudions pourquoi ces chercheurs affirment l’avoir fait. Nous n’avons pas été en mesure de reproduire ce comportement dans nos tests jusqu’à présent.
  • Les vulnérabilités hypothétiques décrites dans ces rapports sont mieux caractérisées comme des bogues potentiels, que nous avons tenté d’identifier de manière proactive grâce à notre programme Bug Bounty, où les chercheurs en sécurité divulguent de manière responsable les problèmes de sécurité qu’ils découvrent en échange de paiements pouvant atteindre 30000 USD. Étant donné que toutes les applications de contrôle de vol DJI sont conçues pour fonctionner dans n’importe quel pays, nous avons pu améliorer notre logiciel grâce aux contributions de chercheurs du monde entier, comme le montre cette liste.
  • Les composants MobTech et Bugly identifiés dans ces rapports ont été précédemment supprimés des applications de contrôle de vol DJI après que des chercheurs précédents aient identifié des failles de sécurité potentielles. Encore une fois, il n’y a aucune preuve qu’ils aient jamais été exploités, et ils n’ont pas été utilisés dans les systèmes de contrôle de vol de DJI pour les clients gouvernementaux et professionnels.
  • L’application DJI GO4 est principalement utilisée pour contrôler nos produits de drones récréatifs. Les drones DJI conçus pour les agences gouvernementales ne transmettent pas de données à DJI et ne sont compatibles qu’avec une version non disponible dans le commerce de l’application DJI Pilot. Le logiciel de ces drones n’est mis à jour que via un processus hors ligne, ce qui signifie que ce rapport n’est pas pertinent pour les drones destinés à un usage gouvernemental sensible. Un récent rapport de sécurité de Booz Allen Hamilton a audité ces systèmes et n’a trouvé aucune preuve que les données ou informations collectées par ces drones sont transmises à DJI, en Chine ou à toute autre partie inattendue.
  • Il ne s’agit que de la dernière validation indépendante de la sécurité des produits DJI à la suite des examens de la National Oceanic and Atmospheric Administration des États-Unis, de la société de cybersécurité américaine Kivu Consulting, du département américain de l’intérieur et du département américain de la sécurité intérieure.
  • DJI a longtemps appelé à la création de normes industrielles pour la sécurité des données des drones, un processus qui, nous l’espérons, continuera à fournir des protections appropriées aux utilisateurs de drones ayant des problèmes de sécurité. Si ce type de fonctionnalité, destiné à assurer la sécurité, est un problème, il doit être traité dans des normes objectives qui peuvent être spécifiées par les clients. DJI s’engage à protéger les données des utilisateurs de drones, c’est pourquoi nous concevons nos systèmes de manière à ce que les utilisateurs de drones puissent contrôler s’ils partagent des données avec nous. Nous sommes également attachés à la sécurité, en essayant de proposer des solutions technologiques pour assurer la sécurité de l’espace aérien.

N’oubliez pas le désordre de l’application Android

La recherche et la réponse de DJI soulignent le désarroi du système actuel d’achat d’applications de Google. Un contrôle inefficace, le manque de granularité des autorisations dans les anciennes versions d’Android et l’ouverture du système d’exploitation facilitent la publication d’applications malveillantes sur le Play Store. Ces mêmes choses permettent également de confondre facilement des fonctions légitimes avec des fonctions malveillantes.

Les personnes qui ont installé DJI Go 4 pour Android peuvent vouloir le supprimer au moins jusqu’à ce que Google annonce les résultats de son enquête (le comportement de redémarrage automatique signalé signifie qu’il n’est pas suffisant de simplement réduire l’utilisation de l’application pour le moment). En fin de compte, les utilisateurs de l’application se retrouvent dans une position similaire à celle de TikTok, qui a également suscité des soupçons, à la fois en raison d’un comportement considéré comme fragmentaire par certains et en raison de sa propriété par ByteDance, basée en Chine.

Il ne fait aucun doute que de nombreuses applications Android sans lien avec la Chine commettent des infractions similaires ou pires que celles attribuées à DJI Go 4 et TikTok. Les gens qui veulent se tromper du côté de la sécurité devraient éviter la grande majorité d’entre eux.

LEAVE A REPLY

Please enter your comment!
Please enter your name here