Поделиться
Специалисты по информационной безопасности в Европе и США провели расследование и обнаружили уязвимость в приложении, которое управляет дронами китайской компании DJI. Она является крупнейшим производителем такой техники.
По данным исследователей французской фирмы Synacktiv и американской GRIMM, приложение DJI Go для операционной системы Android собирает личную информацию владельцев, а затем эти данные могут быть использованы правительством Китая.
Эксперты отмечают, что проблема заключается не только в сборе информации, но и в том, что приложение китайской компании может обновляться в обход Google и постоянно ожидает команд от удалённого сервера: "Телефон имеет доступ ко всему, что делает дрон, однако информация, которую мы имеем ввиду, является информацией о самом телефоне. Мы не понимаем, зачем DJI нужен доступ к этим данным", - отметил инженер компании Synacktiv Тифани Романд-Латапи.
"Еще два года назад специалисты Check Point обнаружили уязвимость в платформе управления дронами DJI, благодаря которой мошенники потенциально могли получать доступ не только к снимкам с камеры и журналам полетов, но и к данным кредитной карты пользователя в его профиле, - говорит Никита Дуров, технический директор Check Point Software Technologies в России и СНГ. - Так как дроны становятся все более популярными и активно используются во всем мире, это вызывает беспокойство".
В компании Skymec, официальном дистрибьютере DJI в России, отметили, что дроны по умолчанию не имеют доступа к журналам полетов, фотографиям или видео, созданным во время полетов: "Эта информация доступна только в случае, если клиенты добровольно поделятся этими данными, синхронизируя журналы полетов с серверами DJI или физически предоставляя дрон в представительства компании для обслуживания или ремонта, - пояснил Антон Ларсен, директор отдела промышленных решений Skymec. - Более того, некоторым нашим партнерам, обеспокоенным безопасностью данных и выполняющим важные полетные задания, мы советуем использовать режим "Локальные данные" в специальном приложении управления полетом DJI Pilot, который останавливает весь входящий и исходящий интернет-трафик, обеспечивая повышенную конфиденциальность".
Член совета Госдумы по информационной политике, информационным технологиям и связи Евгений Лифшиц призвал не драматизировать ситуацию вокруг DJI и связывает нападки на китайскую компанию с давлением США на Китай: "Данные о DJI как шпионе поступили на фоне масштабного запрета продукции компании в США, в свою очередь, являющегося частью многоступенчатой американской торговой войны против Китая (ее жертвой ранее пали ZTE и Huawei и вот-вот падет Tik-Tok), - говорит он. - Так что стопроцентно доверять выводам, так хорошо ложащимся в эту логику и обосновывающим запреты, не стоит".
Специалист поясняет, что в приложении для дронов находится не бэкдор, позволяющий получить доступ к телефону, а сборщик метаданных об устройстве. "Даже если предположить самое страшное, что потом эти данные просматривает лично компартия КНР, что с того русскому человеку?", - задается вопросом эксперт.
По мнению Лифшица, пользоваться дронами китайском компании нельзя только в том случае, если вы обладаете доступом к секретным сведениям или являетесь военным. "Для частных лиц возможный вред неочевиден", - резюмирует он.
Операционный директор конкурсов Up Great в РВК Константин Кайсин считает, что история с компанией DJI не является специфичной для рынка дронов. По его мнению, экспоненциально растущие объемы собираемых персональных данных и другой чувствительной информации о человеке постоянно повышают риски их нецелевого или несанкционированного использования. Он полагает, что риски различного рода несут за собой внедрение любых новых технологий. "Если посмотреть в исторической перспективе, эти риски почти никогда не останавливали развития технологий. Первый этап внедрения каждой новой технологии всегда проходил вне рамок правового поля, и только после относительно массового распространения становились понятны все риски. Тогда и появляются нормативные рамки, ограничивающие возможные негативные последствия. Именно этот процесс в начале 20 века по мере распространения автомобилей привел к развитию правил дорожного движения, то же самое сейчас происходит и в сфере управления данными", - заключает эксперт.