Gli esperti di cybersecurity hanno rivelato una nuova vulnerabilità nell’app di controllo dei droni DJI, E sale la tensione tra Cina e Stati Uniti: la app Android “raccoglie grandi quantità di informazioni personali che potrebbero essere sfruttate dal governo di Pechino” riporta il New York Times.
Una piccola spia volante in mano a milioni di inconsapevoli utenti in tutto il mondo? Il più grande produttore mondiale di droni commerciali, DJI ovviamente, è sempre stato nel mirino del governo degli Stati Uniti, così come altre aziende cinesi di successo. Il Pentagono ha vietato l’uso dei suoi droni e, a gennaio, il Dipartimento degli Interni (equivalente del nostro catasto, non del Ministero degli Interni) ha deciso di eliminare i droni cinesi dalla sua flotta, per timori di sicurezza. Anche se DJI ha affermato che la decisione riguardava la politica, non le vulnerabilità del software, la diffidenza statunitense nei confronti di DJI viene sfruttata anche dai competitor, come Parrot, che per il lancio del suo ANAFI USA ha sfruttato il claim “Non fidarti dei droni cinesi”.
“Ogni società tecnologica cinese è tenuta per legge cinese a fornire le informazioni che ottengono, o le informazioni archiviate nelle loro reti, alle autorità cinesi se richiesto,” ha affermato William R. Evanina, direttore del Centro nazionale di controspionaggio e sicurezza. “Tutti gli americani dovrebbero essere preoccupati che le loro immagini, dati biometrici, localizzazione e altri dati memorizzati su app cinesi debbano essere trasferiti all’apparato di sicurezza dello stato cinese”.
La vulnerabilità dei droni, affermano i funzionari americani, è il tipo di falla nella sicurezza che preoccupa Washington. Le organizzazini che hanno lanciato l’allarme al momento sono due, Synacktiv, con sede in Francia, e GRIMM, con sede nei pressi di Washington. I loro esperti hanno scoperto che l’app non solo ha raccolto informazioni dai telefoni, ma che DJI può anche aggiornarle senza che Google riveda le modifiche prima che vengano trasmesse ai consumatori. Ciò potrebbe violare i Termini di servizio per gli sviluppatori Android di Google. I cambiamenti sono anche difficili da rivedere per gli utenti, hanno detto i ricercatori, e anche quando l’app sembra chiusa, pare che in realtà attenda istruzioni da lontano.
“Il telefono ha accesso a tutto ciò che il drone sta facendo, ma le informazioni di cui stiamo parlando sono informazioni telefoniche”, ha detto al New York Times Tiphaine Romand-Latapie, un ingegnere di Synacktiv. “Non vediamo perché DJI avrebbe bisogno di quei dati”, anche se ha ammesso che la vulnerabilità della sicurezza non corrispondeva a una backdoor o a un difetto che consentiva agli hacker di entrare in un telefono.
DJI dal canto suo spiega che la sua app forza gli aggiornamenti sui cellulari degli utenti per fermare gli hobbisti che cercano di hackerare l’app per eludere le restrizioni imposte dal governo su dove e quanto alto drone può volare. “Questa funzione di sicurezza nella versione Android di una delle nostre app di controllo del volo ricreativo impedisce a chiunque di provare a utilizzare una versione compromessa per ignorare le nostre funzioni di sicurezza, come limiti di altitudine e geofencing”, ha dichiarato Brendan Schulman, portavoce di DJI . “Se viene rilevata una versione compromessa, agli utenti viene richiesto di scaricare la versione ufficiale dal nostro sito Web.” Ha aggiunto che la funzione non era presente nel software utilizzato da governi e aziende.
Un altro mistero riguarda chi abbia pagato per fare le pulci al software DJI: Né Synacktiv né GRIMM hanno rivelato chi fossero i loro clienti, ma entrambi hanno lavorato per compagnie aerospaziali e produttori di droni che potrebbero potenzialmente competere con DJI.
