DJI è l’azienda più importante per quanto riguarda il mercato dei droni ad uso commerciale, e l’applicazione DJI Go 4 è quella a cui milioni di utenti fanno riferimento per controllare il volo dei droni e tutte le funzioni accessorie come ad esempio la ripresa di video e tanto altro.

Raccolta dati, IMEI, seriale SIM e altro

Alcuni ricercatori, tramite il reverse engineering dell’applicazione di DJI per Android, hanno scoperto che raccoglieva informazioni, dati personali e che poteva scaricare ed eseguire codice arbitrario senza alcun tipo di controllo da parte dell’utente. L’applicazione DJI Go 4 è stata scaricata più di 1 milione di volta da Google Play Store, che potrebbero crescere almeno a 5 milioni.

Dalle informazioni carpite dai ricercatori a seguito del reverse engineering dell’applicazione, si è scoperto che l’applicazione è in grado di:

  • scaricare ed installare qualsiasi tipo di applicazione attraverso una funzione di aggiornamento automatico oppure tramite un installer dedicato presente all’interno di un SDK (Software Development Kit) offerto dalla piattaforma social cinese Weibo. Entrambe le funzioni permettono di scaricare codice al di fuori di Google Play Store, cosa che va contro i termini di utilizzo richiesti da Google;
  • la possibilità di raccogliere una grande mole di informazioni estremamente importanti dagli smartphone come IMEI, IMSI, nome del carrier, seriale della SIM, informazioni sulla SD card, la lingua del sistema operativo, la versione del kernel, la dimensione del display e il suo livello di luminosità, il nome della rete wireless a cui si è collegati, l’indirizzo MAC e l’indirizzo Bluetooth. Tutte queste informazioni venivano inviate all’azienda MobTech, gli sviluppatori dell’SDK;
  • riavviare automaticamente l’applicazione nel caso in cui venisse  chiusa tramite swipe dal menu del multitasking di Android. Il riavvio permetteva all’app di restare in esecuzione in background continuando ad inviare richieste di connessione;
  • tecniche avanzate di offuscamento che richiedono molto tempo per poter essere scardinate.

In riferimento a quest’ultimo punto, i ricercatori hanno evidenziato che l’applicazione mima perfettamente il comportamento di botnet e applicazioni malware, dove la funzione di aggiornamento automatico, di download di applicazioni arbitrarie e l’offuscamento ricordano molto le tecniche utilizzate da malware.

Fortunatamente la raccolta di codici IMSI e di altre informazioni è stata definitivamente bloccata a seguito del lancio della versione 4.3.36 dell’applicazione, anche se il team non è riuscito a garantire l’assenza di ulteriori feature poco chiare.

Ovviamente la risposta di DJI non si è fatta attendere, indicando a chiare lettere che tutte le feature e tutte le informazioni indicate dal team di ricerca si basano su utilizzi legittimi dell’app oppure che sono stati rimossi o non utilizzati in maniera illecita.