Felhasználói adatokra vadászó plugint gyomlált ki appjaiból a DJI

A DJI-nak a közelmúltban már meggyűlt a baja az adatbiztonsággal, miután az Egyesült Államok hadserege bejelentette, felfüggeszti a legnagyobb dróngyártó termékeinek használatát kötelékében, szoftveres sebezhetőségekre hivatkozva. A cég most egy külső vállalat miatt került ismét reflektorfénybe, amely a gyártó engedélye nélkül gyűjtött adatokat a forgalomban lévő drónokról egy az eszközökhöz tartozó szoftverhez írt pluginen keresztül.

A kínai gyártó blogposztban igyekezett tisztázni az esetet, hangsúlyozva, hogy legújabb frissítésében kigyomlálja a problémás kiegészítőt szoftvereiből. A renitens, JPush névre hallgató plugint a cég iOS-en tavaly márciusban, Android platformon pedig idén májusban vezette be, annak feladata pedig az értesítések megjelenítése volt, mikor egy-egy videót a felhasználók sikeresen feltöltöttek a DJI SkyPixel videómegosztó platformjára. Ehhez a szoftver egy egyedi JPush ID azonosítót rendel minden felhasználóhoz, és mikor valaki úgy dönt, feltölti tartalmait az online felületre, ezt az ID-t továbbítja a SkyPixel felé - utóbbi pedig a feltöltés befejeztével azt a JPush szervereinek küldi el, amely végül a DJI GO, illetve DJI GO 4 appokban értesítést küld a felhasználónak.

Nyerd meg az 5 darab, 1000 eurós Craft konferenciajegy egyikét! A kétnapos, nemzetközi fejlesztői konferencia apropójából a HWSW kraftie nyereményjátékot indít.

A vállalat szeirnt a JPush-nak, hogy feladatát ellássa, nincs szükséges érzékeny adatokra, ugyanakkor ahogy az a DJI külső biztonsági szakértőkkel közösen folytatott vizsgálatából kiderült, a plugin egyéb adatcsomagokat is gyűjtögetett, és továbbította a cég szerverei felé - többek között az androidos telefonokra telepített alkalmazások listáját is. A DJI siet kiemelni, hogy soha nem járult hozzá ezen adatok begyűjtéséhez, illetve nem is fért hozzá azokhoz. Miután az illetéktelen információgyűjtésre fény derült, a cég eltávolította a JPush-t szoftvereinek legfrissebb verziójából, mindenkinek javasolt tehát a lehető leghamarabb frissíteni a dróngyártó appjait, mind Androidon, mind pedig iOS-en.

Érdekes módon az esettel párhuzamosan a cég a "hot-patching" funkciót biztosító jsPatch-et is kigyomlálta, amellyel teljes szoftverfrissítés nélkül, azonnal tudta lecserélni az appok egyes elemeit biztonsági problémák esetén - és amely többek között a fenti helyzetben is bevethető lett volna. A DJI ezt a blogposzt szerint azért lépte meg, hogy biztos JPush-malőr után biztos lehessen benne, hogy minden frissítés átmegy a szükséges biztonsági ellenőrzéseken, mielőtt a felhasználókhoz jutna.

A gyártó közleményéből nem derül ki, hogy a JPush bevezetését megelőző ellenőrzéskor miért nem derült fény a plugin túl kíváncsi természetére, azt mindenesetre a cég kiemeli, hogy a harmadik féltől származó beépülőket bevezetés előtt komoly vizsgálatnak veti alá. A DJI appjaiban jelenleg is használt külső pluginek között egyébként az élő közvetítésekhez a YouTube és a Facebook beépülője is ott van, az alkalmazás összeomlásának jelentését pedig a Bugly végzi. De a DJI Store-ban való fizetést is külső pluginek segítik, mint az Alipay vagy a Taobao. A DJI az eset után szigorít a pluginek ellenőrzésén, fejlesztői pedig a témában külön tréningeket is kapnak.

Mindezek mellett a cég a házon kívüli bugvadászok bátorítására bug bounty programot is indít, azaz pénzjutalmat ajánl azoknak a biztonsági kutatóknak, akik valamilyen hibát találnak szoftvereiben - a komolyabb sebezhetőségek akár 30 ezer dollárt is hozhatnak a konyhára a szakértőknek.