Le géant chinois des drones Da Jiang Innovations (DJI) a répondu jeudi à la divulgation de problèmes de sécurité découverts par des chercheurs dans l’une de ses applications Android.

La société française de cybersécurité Synacktiv a récemment mené une analyse de l’application DJI GO 4 pour Android. L’application permet aux utilisateurs de contrôler et de gérer leurs drones DJI, et elle est principalement conçue pour les produits récréatifs.

DJI, similaire à Huawei et à plusieurs autres grandes entreprises technologiques chinoises, a fait l’objet d’un examen minutieux au cours des dernières années, certains responsables et agences du gouvernement américain craignant que cela puisse aider les efforts d’espionnage du gouvernement chinois.

DJI a toujours nié ces accusations et a souligné une analyse menée par le département américain de la Sécurité intérieure et Booz Allen Hamilton, qui montre qu’il n’y a aucune preuve que le gouvernement de la société et les drones professionnels envoient des données utilisateur à DJI, en Chine ou à d’autres tiers.

L’analyse de Synacktiv, qui a été validée par la société américaine de cybersécurité GRIMM, a trouvé plusieurs failles de sécurité. Les chercheurs ont déclaré que l’application DJI GO 4 Android utilise des mécanismes anti-débogage, d’obscurcissement, de cryptage dynamique et d’emballage, soulignant qu’ils sont similaires aux techniques anti-analyse souvent exploitées par les logiciels malveillants.

Ils ont également remarqué que l’application comprend un mécanisme qui permet au fournisseur d’installer une mise à jour ou un nouveau logiciel sans l’autorisation de l’utilisateur et sans passer par le Google Play Store, à partir duquel l’application a été téléchargée plus d’un million de fois. En contournant Google Play, le fournisseur peut envoyer n’importe quel type de code sur les appareils des utilisateurs, sans avoir à passer les vérifications de Google. Cela a conduit les chercheurs à comparer le système de mise à jour aux serveurs de commande et de contrôle des logiciels malveillants.

«Compte tenu des larges permissions requises par DJI GO 4 (accès aux contacts, microphone, caméra, emplacement, stockage, changement …

Voir la source de cette publication