رفضت شركة DJI الرائدة في مجال تصنيع الطائرات بدون طيار، ادعاءات الباحثين بأن تطبيق أندرويد DJI GO 4 للهواتف المحمولة مليء بعدد من الثقوب في الخصوصية. يتضمن أحدها أن التطبيق يستمر بالعمل في خلفية الجهاز حتى بعد إغلاقه فيتم جمع البيانات الحساسة من المستخدمين بدون موافقتهم.
تطبيق DJI GO 4 هو التطبيق التكميلي المستخدم للتحكم في طائرات DJI بدون طيار، ويحتوي على أكثر من مليون عملية تنزيل على Google Play. ويبدو أن مشكلات الخصوصية المكتشفة هي في أنظمة أندرويد ولا تشم إصدار iOS من التطبيق، بحسب الباحثين.
التطبيق يهاجم البيانات الحساسة للمستخدمين
إذ وجد الباحثون في GRIMM أن التطبيق يحتوي على العديد من الميزات المشبوهة، بالإضافة إلى عدد من تقنيات مكافحة التحليل التي لم يتم العثور عليها في تطبيقات أخرى تستخدم نفس حزم SDK”. أي أنه بشكل عام، هذه الميزات مقلقة وقد تسمح لـ DJI أو Weibo بالوصول إلى معلومات المستخدم الخاصة أو استهدافها لمزيد من الاستغلال.
من جهتهم، أفاد الباحثون في Synacktiv أن تطبيق DJI GO 4 على نظام Android الأساسي لا يغلق كليا عندما يغلق المستخدم التطبيق بتمرير سريع إلى جهة اليمين. بدلا من ذلك، رصدوا خدمة من MapBox قادرة على إعادة تشغيل التطبيق في الخلفية بحيث يستمر في العمل. وبالتالي، لإغلاق التطبيق نهائيا بشكل فعال، على المستخدمين إغلاقه في إعدادات أندرويد وعدم الاكتفاء بمسحه عن الشاشة الخارجية.
كما يزعم الباحثون أيضا أن التطبيق يحتوي على ميزة “التحديث الذاتي” التي تطلب من هاتف المستخدم تثبيت تحديث إجباري أو تثبيت برنامج جديد على التطبيق. تتعارض ميزة “التحديث الذاتي” هذه مع سياسات سوق تطبيقات Google Play الرسمي بحيث يمكن أن يضر المهاجم بخادم “التحديث الذاتي” ليخدع الضحية عبر تنزيل تحديثات التطبيقات الضارة.
الشركة ترد
في المقابل، أصدرت شركة DJI بيان بشأن نقاط الضعف، نفت فيه بشدة أي “نقل غير متوقع للبيانات” من تطبيقاتها. فيما أكد صانع الطائرات بدون طيار أنه لم يتمكن من تكرار بعض مشكلات الخصوصية التي تم الإبلاغ عنها في الاختبار، وأن الثغرات الأخرى المذكورة هي “مخاوف برنامجية نموذجية” من دون تسجيل دليل على أي استغلال حاصل.
هذا وجادل DJI من جانبه بأن “DJI GO 4 غير قادر على إعادة تشغيل نفسه بدون إدخال من المستخدم، ونحن نحقق في سبب ادعاء هؤلاء الباحثين أنه فعل ذلك”.
