Bezpečnost | Drony | DJI

Ovladač pro drony vás možná šmíruje. DJI se brání, že to je nesmysl

Ovladač pro drony vás možná šmíruje. DJI se brání, že to je nesmysl

DJI, přední výrobce civilních dronů střední a vyšší třídy, v těchto dnech řeší další ožehavý problém. Bezpečnostní experti se detailně podívali (1, 2) na jeho ovládací aplikaci pro Android DJI GO 4, načež zjistili, že přinejmenším doposud měla práva ke sběru poměrně velkého množství údajů o samotném telefonu, instalaci aplikací a skrytému běhu na pozadí.

Údajná obrana proti neslušným pilotům

Čínský výrobce na svém webu rychle zareagoval a pokusil se vysvětlit některé kritické pasáže. Právo stahovat a spouštět programový kód obhajoval potřebou zajistit, aby piloti neovládali svoje drony upravenými aplikacemi a firmwary.

Třeba takovými, které umožní let i v zakázaných oblastech, případně jiným způsobem, který neumožňuje legislativa v dané zemi. Když tedy DJI zjistí, že na telefonu běží hacknutá aplikace GO, vynutí si stažení a instalaci oficiální verze.

Klepněte pro větší obrázek
No-Fly zóna pod Brnem. Díky DJI jsem se dozvěděl, že je v jednom z lesíku podzemní základna.

Ze stejného důvodu si aplikace neustále stahuje ze serveru nové databáze zakázaných míst ke vzletu, což je v posledních letech patrné i v tuzemském letovém prostoru.

Podle kritiků je však takové chování aplikace v rozporu s podmínkami služby Google Play Store, programový kód je totiž třeba stahovat výhradně ze serverů Googlu, aby byl možný jeho automatický audit.

Klepněte pro větší obrázek
Oblíbeným a zatím velmi snadným hackem dronů DJI je přepnutí rádiové normy z evropské na mnohem výkonnější americkou. Jedná se pochopitelně o porušení předpisů ČTÚ a provinilcům může hrozit pokuta. 

Google už případ začal řešit, v krajním případě by to tedy mohlo dopadnout i tak, že by aplikace bez patřičných úprav ze Storu zmizela a DJI by ji muselo distribuovat samostatně s návodem, jak aplikaci nainstalovat na telefon ručně.

To by mu však na důvěryhodnosti nepřidalo – zejména v citlivé Evropě, která je přitom pro DJI a jeho zdejší frankfurtskou pobočku jedním z klíčových trhů.

Záměr, nebo neznalost knihoven třetí strany?

A onen sběr příliš velkého množství dat o telefonu včetně IMEI apod.? Podle DJI se tak chovaly jen starší verze aplikace a viníkem byly knihovny třetí strany, které aplikace údajně používala pro snazší sdílení fotek a videí z dronu na nejrůznějších sociálních sítích.

Klepněte pro větší obrázek
Aplikace DJI GO 4 a dron za letu

Je-li to pravda (a nebyla by to nijak nová praxe – vzpomeňte na kódy Facebooku v českých bankovních aplikacích aj.), jak si posteskli diskutéři na Ars Technice, byl by to jen další důkaz toho, že vývojáři aplikací dnes vlastně netuší, co skutečně dělají cizí knihovny, které používají ve svých programech.

To se ostatně netýká jen mobilních aplikací, ale i těch webových. Javascriptových knihoven je plný GitHub, bezpečnostní audity se ale provádějí jen u těch nejpopulárnějších. Na mnohé menší knihovny se nejspíše nikdo nikdy nepodíval.

Není to poprvé

DJI v minulosti řešila podobné problémy, které vedly k zákazu používání těchto dronů v ozbrojených silách USA, nicméně na stranu druhou dostalo DJI zelenou od dalších amerických federálních úřadů včetně ministerstva pro vnitřní bezpečnost.

Je totiž třeba podotknout, že je dnes DJI největším dodavatelem profesionální řady dronů pro integrované záchranné systémy, policii a to včetně Česka. Z toho důvodu má DJI své pobočky v EU i USA a podílí se i na přípravě nových pravidel pro provozování civilních dronů amatéry i profesionály.

Diskuze (15) Další článek: Spusťte počítač odkudkoli: Jak spustit či vypnout počítač na dálku

Témata článku: Google, Bezpečnost, Facebook, Android, Evropa, USA, Evropská unie, Čína, Drony, Kód, Brno, Policie, GitHub, DJI, Store, Ovladač, Knihovna, Ars Technica, Aplikace, Česká republika, Google Play Store, IMEI, Telefon, Instalace

Aktuální číslo časopisu Computer

Megatest mobilů do 8 000 Kč

Test bezdrátových headsetů

Linux i pro začátečníky

Jak surfovat anonymně