...::: C&M News by Ress - Druckansicht :::...

Drucken (Bereits 134 mal)


DJI Go 4 App schockiert Sicherheitsforscher

(24. Juli 2020/22:22)
Die App sammelt Nutzerdaten und ermöglicht es den Entwicklern, Code auf das Smartphone herunterzuladen und zu installieren.

Sicherheitsforscher haben der Android-App DJI Go 4 ein besonders schlechtes Zeugnis ausgestellt. Sie dient der Steuerung von DJI Drohnen und wurde bereits über eine Million Mal aus dem Google Play Store heruntergeladen.

Die Firmen Synactive und Grimm haben die App nun einem gründlichen Sicherheitstest unterzogen und herausgefunden, dass sie bis vor Kurzem sensible Nutzerdaten an die in China betriebenen Server übermittelte. Die App nutzt dafür ein Entwickler-Kit des chinesischen Anbieters Weibo. Zudem hätten die Entwickler gut versteckte Features nutzen können, um die Nutzer auszuspionieren.

So hätten sie jegliche Programme auf das Nutzer-Smartphone herunterladen, installieren und ausführen können, heißt es in den Berichten. Dieses Vorgehen verstößt gegen die Richtlinien von Google. Zudem wurde kürzlich eine Softwarekomponente entfernt, die auf Telefondaten wie IMEI, IMSI, Mobilfunkanbieter, Seriennummer der SIM, Informationen von der SD-Karte, Sprache und Version des Betriebssystems, Displaygröße und Helligkeit, Name des genutzten WLAN-Zugangs und Bluetooth-Adressen zugreifen konnte.

Wurde die App vom Nutzer geschlossen, startet sie automatisch neu und läuft im Hintergrund weiter, heißt es in den Berichten. Sie stellt dann weiterhin Netzwerkanfragen, ohne dass Nutzer dies mitbekommen. Zudem hat man diese Methoden so verschleiert, dass sie nur durch eine aufwendige Analyse ans Licht kamen. Die Sicherheitsforscher verglichen dieses Verhalten mit jenem von Schadsoftware.

DJI wies die Vorwürfe entschieden zurück. In einem Statement heißt es, die App prüfe regelmäßig, ob sie so modifiziert wurde, dass Flugsicherheitsregeln außer Kraft gesetzt werden.


Mehr dazu findet ihr auf futurezone.at


https://ress.at/dji-go-4-app-schockiert-sicherheitsforscher-news24072020222225.html
© by RessServerWorks, 2024