Elektronika.lt
 2020 m. rugpjūčio 13 d. Projektas | Reklama | Žinokite | Klausimai | Prisidėkite | Atsiliepimai | Kontaktai
Paieška portale
EN Facebook RSS

 Kas naujo  Katalogas  Parduotuvės  Forumas  Tinklaraščiai
 Pirmas puslapisSąrašas
 NaujienosSąrašas
 StraipsniaiSąrašas
 - Elektronika, technika
 - Kompiuterija
 - Telekomunikacijos
 - Įvykiai, visuomenė
 - Pažintiniai, įdomybės
 Vaizdo siužetaiSąrašas
 Nuolaidos, akcijosSąrašas
 Produktų apžvalgosSąrašas
 Naudingi patarimaiSąrašas
 Vykdomi projektaiSąrašas
 Schemų archyvasSąrašas
 Teorija, žinynaiSąrašas
 Nuorodų katalogai
 Įvairūs siuntiniai
 Bendravimas
 Skelbimai ir pasiūlymai
 Elektronikos remontas
 Robotų kūrėjų klubas
 RTN žurnalo archyvas






 Verta paskaityti
Rugpjūčio 13 d. 08:37
Stringant e. sveikatai, medikai pasigenda valdžios atsakomybės
Rugpjūčio 12 d. 21:03
MMD pristato naują „Philips 279C9“ monitorių
Rugpjūčio 12 d. 19:34
„LTG Link“ skaitmenizuojasi – rankinį darbą pakeis integruota planavimo sistema
Rugpjūčio 12 d. 17:47
Profesionalus sportininkas ir treneris palygino 4 išmaniąsias apyrankes
Rugpjūčio 12 d. 16:58
Elektros perdavimas be laidų: ar toks scenarijus įmanomas? (1)
Rugpjūčio 12 d. 14:58
Sukurtas naujas šunų sekimo medžioklės metu prietaisas
Rugpjūčio 12 d. 08:17
IT specialistas paaiškino, kaip ribojamas internetas Baltarusijoje: visi tiekėjai priklauso valstybei
Rugpjūčio 11 d. 21:06
Nauji „Audi S3 Sportback“ ir „S3 Limousine“
Rugpjūčio 11 d. 18:51
„Microsoft Teams“ papildė du lietuvių sukurti įrankiai (1)
Rugpjūčio 11 d. 13:08
Ar troleibusai – jau atgyvena? Kada juos nukonkuruos elektriniai autobusai
FS19 Mods
FS19 Map mods, FS19 Courseplay, FS19 GPS mod
SnowRunner Mods
SnowRunner maps, SnowRunner trucks, How to install mods
FS 19 Tractors
Farming Simulator 19 Mods, FS 19 Maps, FS 19 Trucks
ETS2 Mods
ETS2 Trucks, ETS2 Bus, Euro Truck Simulator 2 Mods
Install MC Mods
Minecraft Dungeons Mods, Minecraft Dungeons Skins, Minecraft Dungeons Maps
FS19 Combines
Farming Simulator 19 Mods, FS19 Trucks, FS 19 Mods
How to Install Mods
Minecraft Dungeons Mods, Minecraft Dungeons Maps, Minecraft Dungeons Skins
Mobilieji telefonai
Mobilieji telefonai internetu, telefonų dėklai, telefonų priedai
Šlagbaumas
Fontanai, lauko židinys, supynės
LS19 Mods
Fs19 modhub, fs19 maps, FS19 Seasons
Snowrunner Mods
Snowrunner Maps, Snowrunner Trucks, Install Snowrunner Mods
Reklama
 Straipsniai » Įvykiai, visuomenė Dalintis | Spausdinti

Dronų gamintojai DJI – dar vienas Kinijos slaptasis agentas?

Publikuota: 2020-07-31 08:18
Tematika: Įvykiai, visuomenė
Skirta: Pradedantiems
Aut. teisės: ©15min, UAB
Inf. šaltinis: 15min.lt

Kibernetinio saugumo tyrėjai praėjusią savaitę paviešino saugumo problemas, aptiktas „Android“ programėlėje, kurią sukūrė Kinijos bepiločių skraidyklių gamintojas „Da Jiang Innovations“ (DJI). Tarp šių problemų – automatinis programėlės atnaujinimo mechanizmas, apeinantis „Google Play Store“ filtrus.

 Rodyti komentarus (0)
Įvertinimas:  1 2 3 4 5 

Kibernetinio saugumo tyrėjai praėjusią savaitę paviešino saugumo problemas, aptiktas „Android“ programėlėje, kurią sukūrė Kinijos bepiločių skraidyklių gamintojas „Da Jiang Innovations“ (DJI). Tarp šių problemų – automatinis programėlės atnaujinimo mechanizmas, apeinantis „Google Play Store“ filtrus, rašo „Hacker News“.

Dronas „DJI Phantom 4“. Gamintojo nuotr.
Dronas „DJI Phantom 4“. Gamintojo nuotr.

Dėl atnaujinimo mechanizmo, kuris nepasiduoda „Google Play Store“ kontrolei, į kiekvieną išmanųjį telefoną, kuriame yra tokia programėlė, galima įdiegti piktybiniais tikslais veikiančią programinę įrangą ar į DJI tarnybines stotis persiųsti jautrią asmeninę informaciją.

Dvi labai panašias, nepriklausomai surašytas saugumo ataskaitas pateikė kibernetinio saugumo bendrovės „Synacktiv“ ir GRIMM. Nustatyta, kad programėlė „DJI Go-4“, skirta „Android“ įrenginiams, ne tik prašo labai gausaus prieigos prie asmeninės informacijos leidimų sąrašo (prašo IMSI, IMEI, SIM kortelės serijinio numerio), bet ir naudoja įvairius šifravimo ir „anti-debuginimo“ metodus, kurie reikalingi siekiant išvengti saugumo tikrintojų dėmesio.

„Tokie mechanizmai yra labai panašūs į tuos, kurie įdiegiami piktybinės paskirties valdymo ir kontrolės serveriuose“, – nurodoma „Synacktiv“ ataskaitoje.

Įvertinus didžiulį „DJI Go-4“ suteikiamų leidimų spektrą – prieigą prie kontaktų, mikrofono, kameros buvimo vietos, duomenų saugyklos, galimybės pakeisti prisijungimo prie tinklo būdą – DJI arba „Weibo“ serveriai Kinijoje turi iš esmės visapusę vartotojo telefono valdymo galimybę.

„Play Store“ statistiniai duomenys nurodo, kad „DJI Go-4“ yra įdiegta daugiau nei milijoną kartų. Įdomu tai, kad „Android“ programėlės saugumo trūkumų nėra „iOS“ sistemai skirtoje programėlės versijoje – nei jos kodas yra šifruotas, nei joje yra paslėptas, aplinkkeliais vykdomas atnaujinimo procesas.

Įtartinas atnaujinimo mechanizmas

GRIMM nurodo, kad tyrimą atliko dėl to, kad neįvardinta gynybos pramonės ir visuomenės saugumo technologijų bendrovė užsakė saugumo auditą. Šiai bendrovei kilo poreikis „ištirti DJI dronų, valdomų su „DJI Go-4“ programėle, privatumo implikacijas“.

„Synacktiv“, programėlę nagrinėję atvirkštinės inžinerijos keliu, nurodė, kad aptiko interneto adresą („hxxps://service-adhoc.dji.com/app/upgrade/public/check“), per kurį atsisiunčiamas programėlės atnaujinimas, o vartotojo paprašoma suteikti leidimą „Įdiegti nežinomas programėles“.

„Modifikavome tą užklausą taip, kad ji inicijuotų priverstinį atnaujinimą kitai programėlei – dėl to vartotojui pirmiausiai buvo pateiktas prašymas leisti nepatikimų programėlių įdiegimą, o tuomet jam buvo uždrausta naudotis programėle iki tol, kol nebuvo įdiegtas naujinys“, – nurodė tyrėjai.

Tokia programėlės atnaujinimo praktika yra ne šiaip tiesioginis ir akivaizdus „Google Play Store“ gairių pažeidimas – ji suteikia neįtikėtinai plačias galimybes programėlės kūrėjams. Iš esmės, piktybinių užmačių turintis tokios programėlės valdytojas gali užkrėsti visus telefonus, kuriuose yra ši programėlė, bet kokia piktybinės paskirties programa.

Dar labiau susirūpinimą kelia tai, kad net tuomet, kai programėlė, kiek matoma įprastam vartotojui, būna išjungiama, iš tiesų ji veikia fone ir pasinaudoja galimybe per „Weibo SDK“ („com.sina.weibo.sdk“) įdiegti pagal gamintojo nurodymą atsisiųstą programėlę, kuri tokią galimybę pasirinkusiems vartotojams įjungia drono vaizdo įrašo tiesioginę transliaciją per „Weibo“ tarnybines stotis. GRIMM nurodė, kad nerado jokių įrodymų, jog tokia techninė galimybė jau būtų išnaudojama kokių nors piktybinių programėlių įdiegimui.

Taip pat auditą atlikusios saugumo bendrovės nurodė, kad „DJI Go-4“ naudoja „MobTech“ programavimo įrankius, per kuriuos „siurbia“ metaduomenis apie telefoną – jo ekrano dydį, ekrano ryškumą, WLAN adresą, MAC adresą, BSSID kodus, „Bluetooth“ adresus, IMEI ir IMSI skaičius, ryšio operatoriaus pavadinimą, SIM kortelės numerį, SD duomenų kortelės informaciją, operacinės sistemos branduolio versiją, buvimo vietos informaciją.

DJI ginasi: viskas normalu

Programėlės savininkai – įmonė DJI – tikina, jog viskas, ką atrado saugumo tyrėjai, yra „įprastiniai susirūpinimai dėl programinės įrangos saugumo“ ir tvirtino, jog audito rezultatai prieštarauja „JAV Nacionalinio saugumo departamento, Boozo Alleno Hamiltono ir kitoms ataskaitoms, kurios nerado jokių įrodymų, kad vyktų koks nors nenumatytas duomenų perdavimo prisijungimas iš DJI pusės prie programėlių, skirtų vyriausybiniams ar verslo klientams“.

„Nėra jokių įrodymų, kad tomis programėlėmis kada nors buvo piktnaudžiauta, be to, jos nebuvo naudotos DJI skrydžių valdymo sistemose, skirtose vyriausybiniams ar verslo klientams“, nurodė bendrovės atstovai, pridūrę, kad nesugebėjo atkartoti programėlės savaiminio persikrovimo, apie kurį nurodoma saugumo bendrovių ataskaitoje.

„Ateities versijose vartotojams taip pat bus suteikta galimybė atsisiųsti oficialią programėlės versiją iš „Google Play“, jeigu nebus tą draudžiančių regioninių ribojimų. Jeigu vartotojai nesutiks tokios programėlės atsisiųsti, jų neautorizuota („nulaužta“) programėlės versija bus išjungta saugumo sumetimais“, nurodo įmonės atstovai.

DJI yra pats didžiausias pasaulyje komercinių bepiločių orlaivių gamintojas. Ši bendrovė, kaip ir daugelis kitų Kinijos įmonių, sulaukia vis daugiau įtarimų dėl kibernetinio saugumo. Pavyzdžiui, JAV Vidaus reikalų departamentas šių metų sausį atsisakė savo DJI dronų flotilės.

Pernai gegužę JAV Nacionalinio saugumo departamentas įspėjo šalies įmones, kad jei jos naudos komercinius dronus pagamintus Kinijoje, kyla grėsmė prarasti svarbius duomenis, šie gali atsidurti už serverio, prieinamo tik tai įmonei, ribų.

„Iš šio sprendimo akivaizdu, kad JAV vyriausybės susirūpinimas dėl DJI dronų, sudarantčių santykinai nedidelę dalį Vidaus reikalų departamento dronų flotilės, yra menkai susijęs su kibernetiniu saugumu ir yra politiškai motyvuotos dienotvarkės dalis, kurios tikslas yra sumažinti konkurencingumą rinkoje ir suteikti pirmenybę vietinių gamintojų dronams, nepriklausomai nuo jų galimybių“, – dar sausį prieš juos nukreiptus veiksmus kritikavo DJI.


15min.lt



Draudžiama platinti, skelbti, kopijuoti
informaciją su nurodyta autoriaus teisių žyma be redakcijos sutikimo.

Global electronic components distributor – Allicdata Electronics

TMS ELECTRONICS
TMS ELECTRONICS

www.rslietuva.com – nemokamas elektronikos komponentų pristatymas

ENEBA's game store

„Altegra“ – elektronikos projektavimas ir gamyba

LOKMITA – įvairi matavimo, testavimo, analizės ir litavimo produkcija

Technologijos.lt

Mokslo festivalis „Erdvėlaivis Žemė

www.esaugumas.lt – apsaugok savo kompiuterį!

LTV.LT - lietuviškų tinklalapių vitrina

Lietuvos mokinių neformaliojo švietimo centras

PriedaiMobiliems.lt – telefonų priedai ir aksesuarai

MRO Supply


Reklama
‡ 1999–2020 © Elektronika.lt | Autoriaus teisės | Privatumo politika | Atsakomybės ribojimas | Reklama | Turinys | Kontaktai LTV.LT - lietuviškų tinklalapių vitrina Valid XHTML 1.0!
Farming Simulator 2017 Mods, FS 17 Mods
ls2017.com
„TV programa“ – tiksli
televizijos programa

www.tvprograma.lt
Lietuvos mokinių neformaliojo švietimo centras
www.lmnsc.lt
Ilgalaikiai kreditai, paskola už automobilį, kreditų skaičiuoklė
www.mokilizingas.lt
Lietuvių kalba informacinėse technologijose
www.likit.lt
Mokslo festivalis „Erdvėlaivis žemė“
MoksloFestivalis.lt
Mokslo ir technologijų pasaulis – naujienos ir straipsniai
www.technologijos.lt
Farming Simulator 2019 Mods, FS19 Tractors, FS19 Maps
farmingsimulator19mods.fr
Optical filters, UV optics, electro optical crystals
www.eksmaoptics.com
LTV.LT – geriausių lietuviškų tinklalapių katalogas
www.ltv.lt/technologijos/
FS19 Mods, FS17 Mods, FS15 Mods
www.farming2015mods.com
Mokslo populiarinimo projektas „Mokslas verslui ir visuomenei“
www.mokslasplius.lt
Reklama


Reklama