Cảnh giác khi dùng máy bay không người lái DJI của Trung Quốc
Khoa học - công nghệ - Ngày đăng : 13:28, 25/07/2020
Trước những tranh cãi gần đây về vấn đề bảo mật trong ứng dụng điều khiển máy bay không người lái Da Jiang Innovations (DJI) do Trung Quốc sản xuất, công ty an ninh mạng Synack Activ (trụ sở tại Pháp) phối hợp với nhóm nghiên cứu bảo mật GRIMM thực hiện các nghiên cứu sâu về ứng dụng này. Qua phân tích, họ phát hiện ra 4 nguyên nhân chính gây lo ngại trong ứng dụng.
Theo báo cáo, DJI GO 4 có cơ chế bỏ qua cập nhật trên Google Play nhưng lại tự động cập nhật phần mềm từ máy chủ của nhà sản xuất. Hoạt động mờ ám này có nguy cơ lây lan phần mềm độc hại và làm lộ thông tin cá nhân của người dùng.
Các nhà nghiên cứu bảo mật của Synack Activ và GRIMM còn phát hiện ra rằng ứng dụng DJI GO 4 có khả năng gỡ lỗi kỹ thuật để trốn các phát hiện phân tích bảo mật và yêu cầu được cấp phép thu thập dữ liệu cá nhân gồm các mã số IMSI, IMEI (số sê ri của thẻ SIM). Trong khi đó, dữ liệu này không liên quan và không cần thiết cho các chuyến bay không người lái, vượt ra ngoài chính sách bảo mật của DJI.
"Cơ chế này rất giống với các máy chủ chỉ huy và kiểm soát gặp phải phần mềm độc hại. DJI GO 4 yêu cầu được cấp quyền vào danh bạ, micro, máy ảnh, vị trí người dùng, các dữ liệu đã lưu trữ, tự chuyển kết nối mạng sau đó chuyển hướng đến các máy chủ ở Trung Quốc hoặc trang Weibo, từ đó giành quyền kiểm soát gần như toàn bộ điện thoại của người dùng”, chuyên gia bảo mật của Synack Activ nói.
Ứng dụng DJI GO 4 có toàn quyền kiểm soát thông báo hiển thị cho người dùng bằng lời nhắc "dùng ứng dụng tin cậy", do đó dễ thuyết phục người dùng chấp nhận bấm "Update" - Ảnh: Chụp màn hình
Bằng kỹ thuật đảo ngược, các chuyên gia đã phát hiện ứng dụng có một đường dẫn “mờ ám”, có thể tự tải các bản cập nhật xuống và nhắc người dùng cấp quyền “cài đặt ứng dụng không xác định "
“Không chỉ vi phạm trực tiếp các nguyên tắc của cửa hàng Google Play, mà ý nghĩa của tính năng này cũng rất lớn. Kẻ tấn công có thể xâm nhập máy chủ để nhắm mục tiêu người dùng với các bản cập nhật ứng dụng độc hại”, một chuyên gia bảo mật của GRIMM nói.
Điều nguy hiểm là ứng dụng Android DJI GO 4 tự khởi động lại khi đóng thông qua cử chỉ vuốt để thoát trên Android. Do đó, người dùng có thể bị lừa vì nghĩ rằng ứng dụng đã bị đóng, nhưng nó có thể đang chạy ẩn trong bằng các lệnh từ xa. Nó có thể âm thầm tải xuống và cài đặt các ứng dụng tùy ý (có sự chấp thuận của người dùng) thông qua SDK Weibo. Trong quá trình này, SDK Weibo cũng thu thập thông tin cá nhân của người dùng và truyền tới Weibo.
Trước đó, phiên bản DJI 4.3.36, cũng chứa MobTech SDK nhằm thu thập thông tin cá nhân của người dùng và truyền tới MobTech - một công ty phân tích dữ liệu của của Trung Quốc.
Các phân tích về DJI GO 4 cũng cho thấy kết quả tương tự với các ứng dụng khác của Trung Quốc như Study the Great Nation 21. Ứng dụng này ẩn giấu chức năng thu thập thông tin trên điện thoại, ID mạng di động và vị trí GPS của người dùng hoặc máy bay không người lái và thực thi mã mà không có sự kiểm soát của người dùng.
Một đoạn trong báo cáo phân tích ứng DJI GO 4 nhà nghiên cứu bảo mật GRIMM - Ảnh: Chụp màn hinh
Các chuyên gia bảo mật GRIMM tiết lộ nghiên cứu trên được thực hiện “để đáp ứng các vấn đề bảo mật được yêu cầu bởi một nhà cung cấp công nghệ quốc phòng và an toàn công cộng giấu tên, người đã tìm cách điều tra ý nghĩa riêng tư của máy bay không người lái DJI trong ứng dụng Android DJI GO 4".
Máy bay không người lái DJI được sản xuất bởi SZ DJI Technology Co, Ltd – một công ty công nghệ của Trung Quốc có trụ sở tại Thâm Quyến và Quảng Đông. DJI thống trị trong ngành nghiệp máy bay không người lái dân sự, chiếm hơn 70% thị trường máy bay không người lái trên thế giới. Máy bay không người lái DJI được sử dụng rộng rãi cho ngành công nghiệp âm nhạc, truyền hình và phim ảnh. Các sản phẩm của DJI cũng được sử dụng trong lực lượng quân đội và cảnh sát để quan sát truy bắt tội phạm hoặc các mục đích an ninh quốc phòng…
Sản phẩm của DJI được rao bán trên các trang thương mại điện tử tại Việt Nam - Ảnh: Chụp màn hinh
Các sản phẩm của DJI như máy bay không người lái thiết bị quay chống rung cho điện thoại (gimbal), máy quay hành động, phần mềm điều khiển flycam… cũng đã có mặt trên thị trường Việt Nam từ nhiều năm nay.
Do những lo ngại về an ninh quốc phòng, đầu năm 2020, Bộ Nội vụ Mỹ (The United States Department of the Interior) đã quyết định cấm các máy bay không người lái sản xuất từ Trung Quốc hoạt động tại Mỹ.
Tiểu Vũ