Совсем недавно специалисты по интернет-безопасности из компании Synacktiv выполнили анализ безопасности приложения DJI GO на платформе Android. Им удалось выполнить полное дезассемблирование и деобфускацию кода приложения. Выяснилось, что приложение получают полноценный доступ к мобильному устройству и его датчикам.
Благодаря этому исследованию выяснился ряд проблемных моментов для владельцев коптеров DJI:
- Приложение получает доступ к максимуму датчиков телефона, оправдывая это необходимостью для полетов Коптера.
- Приложение DJI Go имеет собственный механизм обновления. Поэтому то приложение что было загружено через Play Market может обновиться самостоятельно, подгрузив компоненты приложения с серверов DJI и в Google не будут об этом знать.
- Приложение общается с множеством серверов в сети интернет и потенциально может передавать конфиденциальные данные.
- После выхода из приложения, DJI GO продолжает работать в фоном режиме и обменивается данными в сети интернет.
Безусловно, это исследование покрывает тенью репутацию DJI и наносит серьезный ущерб. Если бы Китайцы не сделали адекватный ответ, их могла постичь участь Huawei, поскольку в США очень обеспокоены сбором данных своего населения и отправки его в Китай.
Ответ DJI
DJI грамотно ответили на данные обвинения. Ими была разработана и внедрена специальная опция под названием Локальное хранение данных (возможно в русской локализации она будет именована иначе). При активации этой опции приложение перестает общаться в сети интернет и хранит все данные локально. DJI уверяют, что никакие данные не будут отправлены на их серверы и полеты будут строго конфиденциальны. При этом, если пользователь не знает об этом функционале, данные мобильных устройств будут также отправлены как и ранее, поэтому довольно шаткая позиция.
А как там у Apple
С безопасностью в Apple Appstore дела обстоят намного лучше, чем у гугла в плей маркете. Прежде всего в аппстор нельзя добавить приложение с обфусцированным кодом (зашифрованным), модераторы просто не пропустят такое приложение. А поскольку зашифровать свой код нельзя, то модераторы видят все, что делает приложение, какие данные собирает и отправляет на сторонние сервера. Разумеется, Apple позаботилась и об обновлении, приложение на iOS не имеет возможности обновить себя самостоятельно минуя Appstore.
Таким образом безопасность и конфиденциальность у Эппл на гораздо более высоком уровне. И если вас заботит сбор ваших данных и отправка на сторонние сервера, рекомендуем использовать мобильные устройства от Apple.