DJI, přední výrobce civilních dronů střední a vyšší třídy, v těchto dnech řeší další ožehavý problém. Bezpečnostní experti se detailně podívali (1, 2) na jeho ovládací aplikaci pro Android DJI GO 4, načež zjistili, že přinejmenším doposud měla práva ke sběru poměrně velkého množství údajů o samotném telefonu, instalaci aplikací a skrytému běhu na pozadí.
Údajná obrana proti neslušným pilotům
Čínský výrobce na svém webu rychle zareagoval a pokusil se vysvětlit některé kritické pasáže. Právo stahovat a spouštět programový kód obhajoval potřebou zajistit, aby piloti neovládali svoje drony upravenými aplikacemi a firmwary.
Třeba takovými, které umožní let i v zakázaných oblastech, případně jiným způsobem, který neumožňuje legislativa v dané zemi. Když tedy DJI zjistí, že na telefonu běží hacknutá aplikace GO, vynutí si stažení a instalaci oficiální verze.
No-Fly zóna pod Brnem. Díky DJI jsem se dozvěděl, že je v jednom z lesíku podzemní základna.
Ze stejného důvodu si aplikace neustále stahuje ze serveru nové databáze zakázaných míst ke vzletu, což je v posledních letech patrné i v tuzemském letovém prostoru.
Podle kritiků je však takové chování aplikace v rozporu s podmínkami služby Google Play Store, programový kód je totiž třeba stahovat výhradně ze serverů Googlu, aby byl možný jeho automatický audit.
Oblíbeným a zatím velmi snadným hackem dronů DJI je přepnutí rádiové normy z evropské na mnohem výkonnější americkou. Jedná se pochopitelně o porušení předpisů ČTÚ a provinilcům může hrozit pokuta.
Google už případ začal řešit, v krajním případě by to tedy mohlo dopadnout i tak, že by aplikace bez patřičných úprav ze Storu zmizela a DJI by ji muselo distribuovat samostatně s návodem, jak aplikaci nainstalovat na telefon ručně.
To by mu však na důvěryhodnosti nepřidalo – zejména v citlivé Evropě, která je přitom pro DJI a jeho zdejší frankfurtskou pobočku jedním z klíčových trhů.
Záměr, nebo neznalost knihoven třetí strany?
A onen sběr příliš velkého množství dat o telefonu včetně IMEI apod.? Podle DJI se tak chovaly jen starší verze aplikace a viníkem byly knihovny třetí strany, které aplikace údajně používala pro snazší sdílení fotek a videí z dronu na nejrůznějších sociálních sítích.
Aplikace DJI GO 4 a dron za letu
Je-li to pravda (a nebyla by to nijak nová praxe – vzpomeňte na kódy Facebooku v českých bankovních aplikacích aj.), jak si posteskli diskutéři na Ars Technice, byl by to jen další důkaz toho, že vývojáři aplikací dnes vlastně netuší, co skutečně dělají cizí knihovny, které používají ve svých programech.
To se ostatně netýká jen mobilních aplikací, ale i těch webových. Javascriptových knihoven je plný GitHub, bezpečnostní audity se ale provádějí jen u těch nejpopulárnějších. Na mnohé menší knihovny se nejspíše nikdo nikdy nepodíval.
Není to poprvé
DJI v minulosti řešila podobné problémy, které vedly k zákazu používání těchto dronů v ozbrojených silách USA, nicméně na stranu druhou dostalo DJI zelenou od dalších amerických federálních úřadů včetně ministerstva pro vnitřní bezpečnost.
Je totiž třeba podotknout, že je dnes DJI největším dodavatelem profesionální řady dronů pro integrované záchranné systémy, policii a to včetně Česka. Z toho důvodu má DJI své pobočky v EU i USA a podílí se i na přípravě nových pravidel pro provozování civilních dronů amatéry i profesionály.
