DJI Go 4 App Update Hinweis 1

NY Time berichtet über neue Sicherheitslücke in DJI App

Publiziert von Nils Waldmann

am

Tags:

DJI

Die New York Times hat einen Artikel veröffentlicht, der über eine neue Sicherheitslücke im Ökosystem von DJI berichtet. Angeblich sollen nur Android Geräte betroffen sein. Damit gerät DJI erneut mit negativen Schlagzeilen in die US-Presse.

Der Drohnenhersteller DJI ist seit 2017 mit schwierigen Vorwürfen der US-Regierung konfrontiert, die dem Weltmarktführer unterstellen, seine Drohnen würden Daten sammeln und an die chinesische Regierung weitergeben. DJI hat bisher allen diesen Vorwürfen vehement widersprochen.

Während es in den letzten Monaten relativ ruhig um das Thema war und eine unabhängige Untersuchung DJI Drohnen sogar ein gutes Sicherheitszeugnis ausstellte, kommt der neuste Bericht der NY Times mit weiteren schlechten Neuigkeiten daher.

DJI App soll ohne Wissen des Nutzers veränderbar sein

Der nun erschienene Artikel in dem US-Nachrichtenmagazin bezieht sich auf eine Untersuchung des IT-Sicherheits-Dienstleisters Synacktiv aus Frankreich sowie einer Analyse des US-Unternehmens GRIMM.

DJI Go 4 App im Vergleich
DJI Go 4 App.

Ziel der Untersuchung war die DJI Go 4 App, die nach wie vor für die meisten DJI Drohnen im Consumer-Segment Verwendung findet. Die App wird unter anderem zur Steuerung der DJI Mavic, Mavic Air, Mavic 2, Spark und Phantom 4 Serie verwendet und dürfte damit aktuell immer noch den größten Anteil im Consumer-Segment ausmachen.

Für seine neuen Drohnen der Mavic Air 2 und Mavic Mini Serie stellt DJI seine Fly App zur Verfügung, die nicht Gegenstand der Untersuchung war.

Konkret geht es bei der gefunden Sicherheitslücke um eine automatische Update-Funktion der DJI Go 4 App im Android-Ökosystem. Die DJI zwingt den Nutzer teilweise zur Aktualisierung der App. DJI begründet dieses Schritt unteranderem damit, sicherzustellen, dass keine veränderten / modifizierten Versionen der DJI Go 4 von Nutzern verwendet werden können, um beispielsweise die gesperrten Geo Fencing Bereiche illegal auszuhebeln.

In den Augen der Urheber der neuen Analyse liegt das Problem bei diesem Vorgehen vor allem darin, dass DJI in diesem Moment das Update direkt von einem dritten Server einspielt. Damit umgeht die App beim Update den Google Play Store und das verbundene Audit des Codes durch Google. Es wird an dieser Stelle bemängelt, dass kein Nutzer weiß, welche Inhalte / Veränderungen genau mit der neuen Version eingespielt werden.

DJI Go 4 App soll persönliche Daten sammeln

Um diesen direkten Update-Prozesse zu ermöglichen, setzt DJI auf ein Framework namens Weibo das von einem externen Anbieter bereitgestellt wird.

Außerdem behaupten die Berichte, dass vor der Nutzung von Weibo ein chinesischer Dienst names Mob SDK zum Einsatz kam, der auch Daten wie IMSI, IMEI, und die Seriennummer von SIM-Karten übertragen und gesammelt hat. Seit DJI Go 4 v4.3.36 kommt Mob SDK jedoch nicht mehr zum Einsatz.

Außerdem gibt der Report an, dass selbst bei einem Schließen der Go 4 App durch eine „Wischgeste nach Rechts“ weiterhin Telemetriedaten bei geschlossener DJI Go 4 App übermittel werden soll.

Beide Analysen warnen davor, dass mit einer boshaft veränderten App, die über den automatischen Update-Mechanismus ausgespielt würde, breiter Zugriff auf das Telefon des Nutzers besteht. Die DJI Go 4 App verlangt unter Android mit unter Zugriff auf Kontakte, Mikrofon, Kamera, Standort, Dateispeicher und kann auch die Netzwerkeinstellungen ändern. Im Regelbetrieb werden diese Funktionen natürlich zur Steuerung der Drohne verwendet.

China’s Android Problem

In dem Kontext muss unbedingt die aktuelle Situation in China in Zusammenhang mit Android Telefonen erwähnt werden. Während der Apple App Store direkt in China zugänglich ist und Apple somit auch hier seine Software-Audits durchführen kann, bevor eine App veröffentlicht wird, ist Google in China nicht offiziell am Markt.

Zumindest nicht, wenn es um das Thema Google Play Store gibt. Damit Unternehmen ihre Apps für Android irgendwie auf die Telefone der Nutzer bekommen, ist es also grundsätzlich nicht ungewöhnlich, dass kreative Workarounds parallel zur offiziellen Version im Google Play Store bereitstehen. DJI bietet seine APK-Dateien (Google Android Apps) wohl auch aus diesem Grund direkt auf seiner Website zum direkten Download an.

In diesem Zusammenhang überrascht es auch nicht, dass eine entsprechende Funktion für die iOS-Variante der App nicht gefunden werden konnte.

Aktuell steht eine Stellungnahme von DJI noch aus. Das ausgerechnet ein französisches Unternehmen Urheber der neuen Studie ist, ist in Anbetracht der erst kürzlich erfolgten Vorstellung ANAFI USA Drohne durch den französischen Drohnenhersteller Parrot mindestens erwähnenswert. Bereits während des Launch-Events kam sogar das Mobtech SDK zur Sprache.

Quelle: NY Times, Synacktiv, Grimm

Update 25.7.2020: DJI hat sich nun auch offiziell zu dem Bericht geäußert. Die gesamte Stellungnahme findet ihr hier.

Bleibt in Kontakt!

Wenn ihr über die neuesten Drohnen-News, Drohnen-Leaks, Drohnen-Gerüchte, Drohnen-Guides und Drohnen-Testberichte auf dem Laufenden bleiben möchtet, dann folgt uns gerne auf unseren Social-Media-Kanälen!

Außerdem freuen wir uns natürlich über eure Nachrichten oder Fragen in den Kommentaren!


Hinweis: Mit Sternchen (*) markierte Links sind Affiliate-Links / Partnerlinks. Mit einem Kauf über diesen Link erhalten wir als Seitenbetreiber eine Verkaufsprovision. So kannst du Drone-Zone.de ganz einfach unterstützen. Bitte beachtet, dass es sich bei Drone-Zone um eine reine Website zur Information und keinen Online-Shop handelt. Ihr könnt über unsere Seite keine Kaufverträge über die dargestellten Artikel abschließen und auch keine persönliche Beratung hierzu in Anspruch nehmen. Mehr Informationen dazu findest du hier.

Avatar-Foto

Nils Waldmann

Hi, ich bin Nils! Ich bin leidenschaftlicher Modellbauer, Hobby-Fotograf, Akku-Liebhaber und RC-Pilot. Ich berichte hier über die neusten Entwicklungen in der Drohnen-Branche und kümmere mich um detaillierte Anleitungen, Guides und Testberichte.

Schon gesehen?

DJI Mini 3 im Flug vor Wald

DJI Mini 3 & DJI Mini 2 im Vergleich: Sofort Upgraden?

Mit der Vorstellung der neuen DJI Mini 3 stellt sich für viele Besitzer der DJI Mini 2 jetzt endgültig die Frage: Lohnt sich ein Upgrade auf das neue Modell? Wir ... jetzt lesen!

DJI FPV - Bereit für den Start

DJI FPV Firmware v01.02.0000 Update – HDMI-Output

Der Drohnenhersteller DJI hat ein neues Firmware Update (v01.02.0000) für seine DJI FPV Drohne veröffentlicht. Das Update bringt zahlreiche neue Funktionen mit. Dazu gehört nun auch Video Out über HDMI ... jetzt lesen!

DJI Terra 3.7.3 Update behebt wichtige Bugs

Der Kamera- und Drohnenhersteller DJI hat ein neues Update für seine professionelle Kartografie- und Mapping-Lösung DJI Terra ausgerollt. Die neue Version nimmt einige Bugs ins Visier, die Nutzern bisher das ... jetzt lesen!

Reisfelder in Indonesien

Drohnen bekämpfen Malaria auf Sansibar

Auf der tansanischen Insel Sansibar (Unuguja) werden seit Kurzem Drohnen zur Bekämpfung von Malaria eingesetzt. Das erklärte Ziel der Regierung ist es, Malaria bis zum Jahre 2023 auf den Inselarchipel ... jetzt lesen!

Schreibe einen Kommentar