O app DJI Go 4, utilizado para controlar os drones da marca chinesa, teve problemas de segurança apontados em relatórios recentes. Especialistas da Synacktiv, por exemplo, documentaram comportamento abusivo do software, apontando que o mesmo poderia coletar dados sensíveis do usuário sem permissão. Além disso, o aplicativo, que tem cerca de 1 milhão de usuários pela Play Store, seria capaz de fazer downloads e executar instruções enviadas pelos desenvolvedores, mesmo sem conhecimento do usuário.

De acordo com a DJI, as vulnerabilidades seriam apenas hipotéticas, e provavelmente se tratam de bugs, e não falhas de segurança em si. A fabricante reforçou ainda que é a favor da criação de padrões de segurança para informações envolvendo drones, e que está comprometida com a proteção dos dados do usuário.

Quer comprar celular, TV e outros produtos com desconto? Conheça o Compare TechTudo

A análise da Synacktiv foi realizada a partir de um processo de engenharia reversa, em que o aplicativo é desconstruído para que seja possível entender como funciona e como interage com o dispositivo. No processo, os especialistas identificaram falhas que passam por cima de políticas de segurança do Google para a loja oficial do Android e podem colocar os dados do usuário em risco.

A mais grave delas é a permissão para instalar outros apps automaticamente a partir de instruções dos desenvolvedores. Essa medida, que viola as políticas do Google, poderia levar ao uso do app como vetor de distribuição de malware, por exemplo.

Outra violação documentada no estudo envolve a coleta de dados pessoais. A versão usada na pesquisa foi capaz de capturar IMEI, informações de cartão de memória, número de série do chip SIM, nome da rede Wi-Fi, endereço MAC e mais algumas informações técnicas cuja captura e exploração são proibidas pelo Google. Segundo os especialistas, esse volume de informações era encaminhado para os desenvolvedores.

Além disso, um comportamento particular do app reforça a impressão de que essas ações eram propositais. Segundo a Synacktiv, o app reiniciaria automaticamente sempre que o usuário desliza a tela para fechá-lo. Com isso, rodando em segundo plano, o DJI Go 4 teria a habilidade de continuar coletando dados sem que o usuário percebesse. Para os analistas, a capacidade de rodar sem que o usuário perceba, além de outras técnicas para ofuscar práticas consideradas abusivas, assemelham o comportamento do DJI Go 4 ao de malwares.

Já conhece o Mavic Air 2? Nós testamos o modelo mais recente da DJI no Brasil:

O que diz a DJI

No comunicado que responde às acusações, a DJI afirma que todos os dados utilizados pelo app tiveram uso relevante no controle dos drones, e que violações documentadas pelos especialistas fazem parte de edições antigas do mesmo. Além disso, a fabricante aponta para possíveis versões não-oficiais do aplicativo, citando que, ao detectar casos assim, o software notifica o usuário e solicita ao mesmo o download da opção correta e mais recente.

A marca também fala sobre situações em que há uso de modificações não-autorizadas pelo usuário, o que seria uma forma de garantir as medidas de segurança relacionadas ao espaço aéreo. Outro tópico tratado é sobre a falha em que o app reinicia sem o comando do usuário, o que a DJI garante estar investigando – apesar da afirmação de que não foi possível

... replicar a falha em testes internos.

A empresa também fez questão de separar o DJI Go 4, app voltado para uso comercial dos drones, dos softwares oferecidos a quadricópteros utilizados por agências governamentais, que não repassam informações à fabricante. Portanto, as falhas apontadas nos relatórios não seriam um problema nesses casos, de qualquer forma.

Quer saber qual o melhor drone para comprar no Brasil? Descubra no Fórum do TechTudo



>>> Veja o artigo completo no TechTudo