Mới đây, các nhà nghiên cứu an ninh mạng đã phát hiện các lỗi bảo mật trên ứng dụng Android của DJI – một hãng sản xuất thiết bị không người lái của Trung Quốc. Được biết ứng dụng này có cơ chế cập nhật tự động vượt qua khâu kiểm tra của Google Play Store để cài đặt các ứng dụng độc hại và truyền thông tin cá nhân của người dùng tới máy chủ của DJI.
Các nghiên cứu được tiến hành bởi công ty an ninh mạng Synactiv Synacktiv và GRIMM GRIMM đã phát hiện ứng dụng Android của DJI Go 4 DJI Go 4 không chỉ yêu cầu quyền truy cập mở rộng và tự ý thu thập dữ liệu cá nhân của người dùng như IMSI, IMEI, số seri của thẻ SIM, mà nó còn sử dụng các kỹ thuật anti-debug và mã hóa để cản trở quá trình phân tích bảo mật.
“Cơ chế này rất giống với các máy chủ C&C khi gặp phải các phần mềm độc hại,” Synacktiv cho biết.
“Với việc yêu cầu nhiều quyền mở rộng như quyền truy cập vào danh bạ, micro, máy ảnh, vị trí, ứng dụng lưu trữ dữ liệu, thay đổi kết nối mạng, các máy chủ DJI hay Weibo của Trung Quốc có thể kiểm soát gần như toàn bộ điện thoại của người dùng.”
Ứng dụng Android của DJI có hơn một triệu lượt tải xuống thông qua Google Play Store. Nhưng các lỗ hổng bảo mật được phát hiện trên ứng dụng không xuất hiện trên phiên bản iOS của DJI vì iOS không có tính năng tự động cập nhật đáng ngờ như trên.
Cơ chế tự cập nhật “mờ ám”
GRIMM cho biết những vấn đề bảo mật này đã được phát hiện thông qua một cuộc kiểm tra bảo mật được yêu cầu bởi một cơ quan an ninh quốc phòng và an toàn công cộng giấu tên. Cơ quan này có nhu cầu “điều tra mức độ bảo mật của DJI drone trên ứng dụng Android DJI GO 4.”
Bằng cách phân tích đảo ngược ứng dụng, Synacktiv đã phát hiện ra sự tồn tại của một URL (“hxxps://service-adhoc.dji.com/app/upgrade/public/check”) được dùng để tải xuống một bản cập nhật ứng dụng và gợi ý người dùng cấp quyền cài đặt “các ứng dụng không xác định”.
“Đầu tiên, chúng tôi sửa đổi yêu cầu này để kích hoạt một bản cập nhật bắt buộc cho một ứng dụng tùy ý. Bản cập nhật này sau đó sẽ xúi giục người dùng cho phép nó cài đặt các ứng dụng không xác định và chặn không cho họ sử dụng ứng dụng cho đến khi bản cập nhật hoàn tất việc cài đặt,” các nhà nghiên cứu cho biết.
Không chỉ vi phạm trực tiếp tới các nguyên tắc của Google Play Store mà tính năng này còn gây ra những rủi ro lớn cho người dùng ứng dụng. Kẻ tấn công có thể sử dụng nó để xâm nhập máy chủ cập nhật và tấn công người dùng bằng các bản cập nhật ứng dụng độc hại.
Đáng lo ngại hơn, ứng dụng này vẫn tiếp tục chạy nền ngay cả khi đã bị đóng và lợi dụng một Weibo SDK (“com.sina.weibo.sdk”) để cài đặt một ứng dụng tùy ý, và kích hoạt tính năng tự cập nhập cho những người dùng đã chọn livestream video drone của họ qua Weibo. Tuy nhiên cho đến hiện tại, GRIMM vẫn chưa tìm thấy bằng chứng nào cho thấy tính năng cập nhật vượt quyền này bị khai thác.
Bên cạnh đó, các nhà nghiên cứu còn phát hiện ứng dụng DJI lợi dụng MobTech SDK để thu thập metadata của điện thoại, bao gồm kích thước, độ sáng màn hình, địa chỉ WLAN, địa chỉ MAC, BSSIDs, địa chỉ Bluetooth, số IMEI và IMSI, tên nhà mạng, số seri SIM, thông tin thẻ SD, ngôn ngữ hệ điều hành và phiên bản kernel cùng với thông tin vị trí.
DJI bác bỏ những cáo buộc
Gọi các phát hiện này là “các lỗi phần mềm thông thường,” DJI đã bác bỏ nghiên cứu này và nói rằng nó mâu thuẫn với “các báo cáo của Bộ An ninh Nội địa Hoa Kỳ, công ty tư vấn Booz Allen Hamilton và một số nghiên cứu khác vì họ đều không tìm thấy bằng chứng nào cho thấy có việc truyền dữ liệu đáng ngờ từ các ứng dụng DJI được thiết kế cho cơ quan chính phủ hay các khách hàng đặc biệt khác.”
“Không có bằng chứng nào cho thấy lỗi bảo mật này bị khai thác và chúng cũng không được sử dụng trên bộ điều khiển flight control system của DJI cho chính phủ hay bất cứ cơ quan chuyên biệt nào,” công ty này cho biết.
“Trong lần cập nhật sắp tới, người dùng có thể tải xuống phiên bản chính thức của DJI từ Google Play Store nếu nó không bị chặn tại quốc gia của họ. Còn nếu người dùng không cài đặt từ những nguồn chính thức như trên thì ứng dụng (bị hack) trái phép của họ sẽ bị vô hiệu hóa vì lý do an toàn.”
DJI là nhà sản xuất thiết bị bay không người lái lớn nhất thế giới. Tuy nhiên gần đây, nó đang phải đối mặt với sự giám sát ngày càng chặt chẽ cùng với các công ty Trung Quốc khác do những mối lo ngại liên quan đến an ninh quốc gia. Vào đầu tháng 1 năm nay, Bộ Nội vụ Hoa Kỳ (DOI) là cơ quan chính phủ đầu tiên đưa ra thông báo tạm ngừng sử dụng drone của DJI.
Tiếp đến vào tháng 5, Bộ An ninh Nội địa Hoa Kỳ tiếp tục đưa ra cảnh báo rằng dữ liệu của các công ty có nguy cơ bị rò rỉ nếu họ sử dụng các thiết bị không người lái được sản xuất tại Trung Quốc và cho rằng nó có “chứa các bộ phận có thể đánh cắp dữ liệu và chia sẻ thông tin người dùng qua một máy chủ mà có thể truy cập bởi bên thứ ba”.
“Quyết định này đã cho thấy rõ ràng là chính phủ Mỹ đang e ngại về sự phát triển của DJI và chắc hẳn nó đã phần nào đó tác động đến quyết định ngừng sử dụng của DOI. Chúng tôi cho rằng vấn đề an ninh quốc gia chỉ là phần nhỏ của mối lo ngại này, mà thực tế nó là một phần của mục tiêu chính trị nhằm giảm cạnh tranh thị trường và hỗ trợ các sản phẩm drone nội địa của Mỹ, bất kể những giá trị mà DJI đã mang lại,” công ty cho biết trong một tuyên bố vào tháng Giêng năm nay.
