- Deux sociétés de sécurité indépendantes affirment que l’application DJI Go 4 comprend plusieurs fonctionnalités suspectes.
- À tout le moins, l’application enfreint certaines des politiques du Play Store de Google.
- DJI a publié une longue déclaration dans laquelle il réfute de nombreuses affirmations.
L’une des applications de drone les plus populaires sur le Google Play Store comprend des fonctionnalités de backend inquiétantes, selon deux rapports indépendants capturés par Ars Technica. Après l’ingénierie inverse de l’application DJI Go 4, les sociétés de sécurité Synacktiv et Grimm ont constaté que le logiciel enfreignait au mieux les politiques du Play Store de Google et, au pire, aurait pu être utilisé pour espionner les utilisateurs de l’entreprise. DJI est l’un des fabricants de drones commerciaux les plus importants et les plus prospères au monde. Sur la base des métriques du Play Store disponibles au public, l’application DJI Go 4 compte au moins 1 million d’installations et jusqu’à 5 millions.
L’un des aspects les plus suspects de l’application est qu’elle peut installer n’importe quelle application sur l’appareil de l’utilisateur via une fonction de mise à jour automatique ou un programme d’installation dédié fourni par le géant chinois des médias sociaux Weibo. Les deux peuvent télécharger du code depuis l’extérieur du Play Store, un aspect de leur conception qui enfreint directement les politiques de Google.
De plus, une version précédente de l’application comprenait un composant qui collectait et envoyait diverses données sensibles à MobTech, un développeur de SDK basé en Chine continentale. Certaines des informations auxquelles la fonction avait accès étaient l’IMEI du téléphone, le numéro de série de la carte SIM, les informations de la carte SD, les adresses Bluetooth, etc. DJI a supprimé cette fonctionnalité avec la version la plus récente de l’application DJI Go 4.
Lisez aussi: Les meilleurs drones que vous pouvez acheter
Enfin, les chercheurs affirment que l’application peut redémarrer automatiquement à chaque fois que vous faites glisser votre doigt pour la fermer, ce qui lui permet de continuer à fonctionner en arrière-plan et de faire des requêtes réseau.
Un porte-parole de DJI a déclaré Ars Technica ce que les chercheurs ont découvert étaient des «vulnérabilités hypothétiques» sans fournir aucune preuve qu’elles aient jamais été exploitées.
«La fonction de mise à jour des applications décrite dans ces rapports sert l’objectif de sécurité très important qui consiste à atténuer l’utilisation des applications piratées qui cherchent à remplacer nos fonctionnalités de géorepérage ou de limitation d’altitude», a déclaré un porte-parole de la société. La géolocalisation est une fonctionnalité logicielle des autorités comme le mandat de la Federal Aviation Administration (FAA) d’empêcher les gens de faire voler leurs drones dans un espace aérien restreint. DJI a par la suite publié une déclaration plus détaillée dans laquelle il tente de répondre à bon nombre des préoccupations soulevées par les rapports. Nous vous exhortons à lire cette déclaration complète avant de vous inquiéter trop.
Plus particulièrement, la société affirme que son application ne redémarre pas sans la contribution des utilisateurs. « Nous n’avons pas été en mesure de reproduire ce comportement dans nos tests jusqu’à présent », a déclaré DJI. Il a également déclaré avoir récemment supprimé les composants MobTech et Bugly que l’application présentait auparavant après qu’un rapport précédent ait trouvé des problèmes avec ces SDK.
Google, pour sa part, a déclaré qu’il examinait les rapports.
Le problème ici est multiple. Un problème majeur est que les éditeurs de logiciels ne font souvent pas un travail suffisamment approfondi pour vérifier les SDK qu’ils utilisent pour développer leurs applications. Par exemple, Facebook a récemment déposé une plainte fédérale contre une entreprise qui a développé un SDK qui a potentiellement compromis les données de 9,5 millions d’utilisateurs. La nature ouverte d’Android et l’automatisation fréquente par Google de la plupart des procédures de vérification signifie que les applications qui contournent les politiques Play Store de l’entreprise peuvent facilement passer entre les mailles du filet.
En relation: Comment protéger votre vie privée avec Android
Si vous possédez un drone DJI et que vous vous souciez de votre vie privée, la meilleure chose à faire est de désinstaller l’application DJI Go 4 jusqu’à ce que Google termine son enquête. Si Google trouve quelque chose d’alarmant, nous ne manquerons pas de mettre à jour cet article avec les détails que vous devez connaître.
