Bezpečnost | Drony | DJI

Ovladač pro drony vás možná šmíruje. DJI se brání, že to je nesmysl

Ovladač pro drony vás možná šmíruje. DJI se brání, že to je nesmysl

DJI, přední výrobce civilních dronů střední a vyšší třídy, v těchto dnech řeší další ožehavý problém. Bezpečnostní experti se detailně podívali (1, 2) na jeho ovládací aplikaci pro Android DJI GO 4, načež zjistili, že přinejmenším doposud měla práva ke sběru poměrně velkého množství údajů o samotném telefonu, instalaci aplikací a skrytému běhu na pozadí.

Údajná obrana proti neslušným pilotům

Čínský výrobce na svém webu rychle zareagoval a pokusil se vysvětlit některé kritické pasáže. Právo stahovat a spouštět programový kód obhajoval potřebou zajistit, aby piloti neovládali svoje drony upravenými aplikacemi a firmwary.

Třeba takovými, které umožní let i v zakázaných oblastech, případně jiným způsobem, který neumožňuje legislativa v dané zemi. Když tedy DJI zjistí, že na telefonu běží hacknutá aplikace GO, vynutí si stažení a instalaci oficiální verze.

Klepněte pro větší obrázek
No-Fly zóna pod Brnem. Díky DJI jsem se dozvěděl, že je v jednom z lesíku podzemní základna.

Ze stejného důvodu si aplikace neustále stahuje ze serveru nové databáze zakázaných míst ke vzletu, což je v posledních letech patrné i v tuzemském letovém prostoru.

Podle kritiků je však takové chování aplikace v rozporu s podmínkami služby Google Play Store, programový kód je totiž třeba stahovat výhradně ze serverů Googlu, aby byl možný jeho automatický audit.

Klepněte pro větší obrázek
Oblíbeným a zatím velmi snadným hackem dronů DJI je přepnutí rádiové normy z evropské na mnohem výkonnější americkou. Jedná se pochopitelně o porušení předpisů ČTÚ a provinilcům může hrozit pokuta. 

Google už případ začal řešit, v krajním případě by to tedy mohlo dopadnout i tak, že by aplikace bez patřičných úprav ze Storu zmizela a DJI by ji muselo distribuovat samostatně s návodem, jak aplikaci nainstalovat na telefon ručně.

To by mu však na důvěryhodnosti nepřidalo – zejména v citlivé Evropě, která je přitom pro DJI a jeho zdejší frankfurtskou pobočku jedním z klíčových trhů.

Záměr, nebo neznalost knihoven třetí strany?

A onen sběr příliš velkého množství dat o telefonu včetně IMEI apod.? Podle DJI se tak chovaly jen starší verze aplikace a viníkem byly knihovny třetí strany, které aplikace údajně používala pro snazší sdílení fotek a videí z dronu na nejrůznějších sociálních sítích.

Klepněte pro větší obrázek
Aplikace DJI GO 4 a dron za letu

Je-li to pravda (a nebyla by to nijak nová praxe – vzpomeňte na kódy Facebooku v českých bankovních aplikacích aj.), jak si posteskli diskutéři na Ars Technice, byl by to jen další důkaz toho, že vývojáři aplikací dnes vlastně netuší, co skutečně dělají cizí knihovny, které používají ve svých programech.

To se ostatně netýká jen mobilních aplikací, ale i těch webových. Javascriptových knihoven je plný GitHub, bezpečnostní audity se ale provádějí jen u těch nejpopulárnějších. Na mnohé menší knihovny se nejspíše nikdo nikdy nepodíval.

Není to poprvé

DJI v minulosti řešila podobné problémy, které vedly k zákazu používání těchto dronů v ozbrojených silách USA, nicméně na stranu druhou dostalo DJI zelenou od dalších amerických federálních úřadů včetně ministerstva pro vnitřní bezpečnost.

Je totiž třeba podotknout, že je dnes DJI největším dodavatelem profesionální řady dronů pro integrované záchranné systémy, policii a to včetně Česka. Z toho důvodu má DJI své pobočky v EU i USA a podílí se i na přípravě nových pravidel pro provozování civilních dronů amatéry i profesionály.

Diskuze (15) Další článek: Spusťte počítač odkudkoli: Jak spustit či vypnout počítač na dálku

Témata článku: Google, Bezpečnost, Android, USA, Facebook, Kód, Čína, Evropa, Evropská unie, Brno, Drony, Policie, GitHub, DJI, IMEI, Telefon, Česká republika, Ars Technica, Aplikace, Google Play Store, Store, Instalace, Ovladač, Knihovna


Určitě si přečtěte

Vyrobíme si falešný Mac mini za tisícovku. Stačí Raspberry Pi a 3D tiskárna

Vyrobíme si falešný Mac mini za tisícovku. Stačí Raspberry Pi a 3D tiskárna

** Vyzkoušíme Raspberry Pi 4 s iRaspbianem ** Operační systém vypadá skoro jako macOS ** Vše strčíme do vlastní stylové krabice

Jakub Čížek | 31

Jak odposlouchávat sousedy: Bizarní Lamphone a další netušené techniky

Jak odposlouchávat sousedy: Bizarní Lamphone a další netušené techniky

** Lamphone je další bizarní technika odposlechu ** Zneužívá obyčejnou stropní lampu ** Podívejte se na další bizarní experimenty

Jakub Čížek | 17

Zapomeňte na kometu, české nebe každý den křižují mnohem zajímavější kousky

Zapomeňte na kometu, české nebe každý den křižují mnohem zajímavější kousky

** České nebe každý den křižuje hromada exotických letounů ** Na populární mapě Flightradar24 je ale nenajdete ** Jsou to vojenské letouny USA, UK a NATO

Jakub Čížek | 37

Zahodil jsem Windows, přešel na Linux a nezbláznil se z toho

Zahodil jsem Windows, přešel na Linux a nezbláznil se z toho

** Měsíc jsem se nedotkl Windows a byl závislý jen na Linuxu ** Jaká byla pozitiva a negativa přechodu? ** Se kterými aplikacemi jsem (ne)zápasil a které bych doporučil?

Lukáš Václavík | 233

Testy procesorů Intel Comet Lake pro desktopy jsou venku. Teď už je jasné, jakého dostaly Ryzeny soupeře

Testy procesorů Intel Comet Lake pro desktopy jsou venku. Teď už je jasné, jakého dostaly Ryzeny soupeře

** Embargo pro testy nových desktopových procesorů Comet Lake od Intelu skončilo ** Spousta recenzí a testů ukazuje výhody a nevýhody nových modelů ** Dokáží nové procesory konkurovat modelům od AMD?

Karel Javůrek | 47


Aktuální číslo časopisu Computer

Megatest: nejlepší notebooky do 20 000 Kč

Test 8 levných IP kamer

Jak vybrat bezdrátová sluchátka

Testujeme Android 11