世界最大手ドローンメーカーDJIのアプリがユーザーデータの収集や任意アプリの強制インストールが可能と判明

世界最大手のドローンメーカーであるDJIが提供するドローン用アプリ「DJI GO 4」のAndroid版に、ユーザーの個人情報を抜き取る機能やGoogleの認証を受けていないアプリケーションをダウンロードできる機能が搭載されていると複数のセキュリティ企業が警告しました。

DJI Android GO 4 application security analysis | Synacktiv
https://www.synacktiv.com/en/publications/dji-android-go-4-application-security-analysis.html

DJI Privacy Analysis Validation
https://blog.grimm-co.com/2020/07/dji-privacy-analysis-validation.html

Chinese-made drone app in Google Play spooks security researchers | Ars Technica
https://arstechnica.com/information-technology/2020/07/chinese-made-drone-app-in-google-play-spooks-security-researchers/

「DJI GO 4」は、MavicシリーズやSparkやPhantom 4などのDJI製ドローンを操作したり、ドローンで撮影した映像を管理したりするためのアプリケーションです。2020年7月12日、セキュリティ企業のSynacktivが「DJI GO 4」をリバースエンジニアリングしたところ、Android版の「DJI GO 4」ではマルウェアと同様の難読化が施されていることを発見します。不審に思った解析チームがソースコードを調査したところ、Android版「DJI GO 4」にはユーザーの個人情報を収集する機能や任意のコードをインストールして実行する機能が搭載されていたことが明らかになりました。

Synacktivによると、最新バージョンである4.3.36より前のバージョンでは、ユーザーの個人情報を収集して中国の分析企業であるMobTechに送信する「Mob SDK」が組み込まれていたとのこと。Mob SDKは、スマートフォンの画面サイズや明るさ、WLANアドレス、MACアドレス、BSS-ID、Bluetoothアドレス、キャリア名、IMEI、IMSI、SIMカードの端末製造番号、SDカード情報、OS言語とカーネルバージョンなどの広範な情報を取得できるとSynacktivは指摘。さらに、バージョン4.122から4.3.25の間に組み込まれていたクラッシュレポートモジュールである「Bugly」もIMEI、IMSI、SIMカードの端末製造番号、Wi-FiインターフェイスのMACアドレス、SSAIDなどを収集していたと説明しました。

さらに、Android版「DJI GO 4」はスワイプでアプリケーションを終了しようとした場合に自動的に再起動するという仕様が搭載されているとのこと。この仕様により、ユーザー側はアプリケーションを閉じたと認識しているにも関わらず、バックグラウンドで個人情報を収集することが可能となります。IMEIやIMSI、SIMカードの端末製造番号などの情報はドローンの操作・映像管理に関わりがなく、これらの情報を収集することはDJIのプライバシーポリシーの範囲外で、諜報機関や悪意のある何者かが個人を特定して通信を盗聴する行為につながるとSynacktivは主張しました。

さらに、「DJI GO 4」は中国のソーシャルメディア企業Weiboが開発した「Weibo SDK」を介した自動アップデート機能が搭載されており、この機能を利用すればGoogleの認証を受けてないアプリケーションをダウンロードできるとSynacktivは解説しました。「DJI GO 4」内で表示されるアップデートは以下のような感じで、詳細説明欄をDJIが任意に書き換えられるため、アップデートを装った別のアプリケーションをインストールするように誘導することができるとSynacktivは述べています。

ダウンロードされたファイルをインストールする際にはユーザーの許可が必要です。

「DJI GO 4」は連絡先・マイク・カメラ・位置情報・ストレージ・ネットワーク接続の変更などの権限を要求することから、これらの仕様について「悪用された証拠は存在しないものの、悪用が可能である」とSynacktivは主張しています。セキュリティ企業のGRIMMはSynacktivの報告を検証し、「Synacktivのレポートを検証できた」と報告。Synacktivの報告に全面的に同意しました。

一連の指摘に対して、DJIは「当社はアプリのセキュリティと顧客データのプライバシーを重視しています。典型的なソフトウェアの懸念事項が発見されましたが、この懸念事項がこれまでに悪用された形跡は存在しません。今回のレポートで言及されたMobTechおよびBuglyコンポーネントは、過去にセキュリティ上の欠陥が指摘された際に削除しましたが、悪用されたという報告は存在しません」「バグ報奨金プログラムを持つ唯一の大手ドローンメーカーとして、全ての研究者に対して当社製品に関するセキュリティ上の懸念事項をsecurity.dji.comで責任を持って開示することを奨励しています」と回答しました。

DJI Statement On Recent Reports From Security Researchers
https://www.dji.com/newsroom/news/dji-statement-on-recent-reports-from-security-researchers

Synacktivの調査によると、アプリケーションの難読化や自動アップデート機能などは「DJI GO 4」のAndroid版にのみ存在し、iOS版には存在しないとのこと。SynacktivはAndroid版「DJI GO 4」は100万回以上もダウンロードされている点や法執行機関もDJI製ドローンを使用する場合がある点に触れて、アプリケーションを機密目的で使わないよう呼びかけました。

今回の一件を報じたIT系ニュースサイトのArs Technicaによると、GoogleはSynacktivの報告を精査しているとのことです。