Hai công ty bảo mật riêng biệt cùng tìm thấy nhiều tính năng trên ứng dụng Go 4 của DJI có dấu hiện đáng ngờ, vi phạm chính sách của Google Play Store.
DJI Go 4 là một trong những ứng dụng máy bay không người lái phổ biến nhất trên Android. Hai công ty bảo mật Synack Activ và Grimm đã dịch ngược mã nguồn (Reverse-engineering) của ứng dụng DJI Go 4 và nhận thấy phần mềm có nhiều tính năng phụ trợ đáng ngờ, vi phạm một số chính sách của Play Store. Nghiêm trọng hơn, ứng dụng này còn bị phát hiện có dấu hiệu theo dõi người dùng.
Theo Ars Technica, DJI là một trong những nhà sản xuất máy bay không người lái thương mại lớn nhất thế giới. Dựa trên số liệu có sẵn trên Play Store, ứng dụng DJI Go 4 có số lượt cài đặt nằm trong khoảng từ 1-5 triệu. Ứng dụng được sử dụng để kiểm soát, thu thập dữ liệu video và chuyến bay theo thời gian thực từ các thiết bị máy bay không người lái do DJI sản xuất (phiên bản iOS không xảy ra vấn đề tương tự).
Một trong những điểm đáng lo ngại là ứng dụng này có thể tự động cài đặt thêm bất kỳ ứng dụng nào trên thiết bị thông qua tính năng tự cập nhật hoặc trình cài đặt chuyên dụng do công ty truyền thông xã hội Weibo (Trung Quốc) cung cấp. Cả hai đều có thể tải mã xuống thiết bị từ bên ngoài Play Store, rõ ràng thiết kế của ứng dụng vi phạm trực tiếp chính sách của Google.
Ngoài ra, phiên bản trước của ứng dụng đã thu thập rất nhiều dữ liệu trên thiết bị, gồm số IMEI điện thoại, số serial SIM, thông tin thẻ SD, địa chỉ Bluetooth… Toàn bộ được gửi đến MobTech, nhà sản xuất SDK (công cụ phát triển phần mềm) có trụ sở tại Trung Quốc. DJI đã loại bỏ chức năng này trên phiên bản Go 4 mới nhất. Bên cạnh đó, các nhà nghiên cứu còn phát hiện ứng dụng DJI Go 4 tự động khởi động lại khi người dùng vuốt đóng, tiếp tục chạy trong nền và thu thập dữ liệu dù chưa được cấp phép.
Về phía DJI, người phát ngôn của công ty đã phủ nhận hoàn toàn cáo buộc, cho rằng những gì các nhà nghiên cứu tìm thấy chỉ là “lỗ hổng giả định”, chưa có bằng chứng cho thấy chúng từng bị khai thác trong thực tế. Công ty cũng tuyên bố ứng dụng không khởi động lại mà chưa được người dùng cho phép. “Chúng tôi chưa từng thực hiện hành vi này, kể cả trong những bản thử nghiệm”, đại diện DJI cho biết.
“DJI thiết kế hệ thống để khách hàng có toàn quyền kiểm soát việc chia sẻ ảnh, video và nhật ký chuyến bay. Chúng tôi hỗ trợ tạo ra các tiêu chuẩn công nghiệp để bảo mật dữ liệu bay, đem đến sự an toàn và tự tin cho người dùng”, tuyên bố của DJI nêu rõ.
DJI giải thích rằng chức năng cập nhật ứng dụng được mô tả trong những báo cáo trên nhằm tránh bị những kẻ có mục đích xấu tìm cách “lách qua” giới hạn địa lý hoặc độ cao của ứng dụng gốc. Định vị địa lý là tính năng được Cơ quan Hàng không Liên bang (FAA) ủy quyền để kiểm soát người dùng điều khiển máy bay không người lái vào không phận bị hạn chế. DJI sau đó đã phát hành một tuyên bố chi tiết hơn, trong đó nêu rõ công ty đang cố gắng giải quyết những mối quan tâm được trình bày trong các báo cáo. Google vẫn chưa bình luận về việc này.
Vấn đề ở đây là nhiều mặt. Điểm chính yếu là các công ty phần mềm thường không thực hiện đủ công việc kiểm tra SDK (công cụ phát triển phần mềm) mà họ đang sử dụng. Chẳng hạn gần đây, Facebook đã đệ đơn kiện liên bang chống lại một công ty phát triển SDK có khả năng xâm phạm dữ liệu của 9,5 triệu người dùng. Mặt khác, Android là hệ điều hành nguồn mở, cộng thêm việc Google sử dụng quy trình tự động hóa để kiểm tra các ứng dụng có tuân theo chính sách của Play Store hay không. Điều này rất dễ bị các nhà phát triển ứng dụng qua mặt.
Báo cáo được đưa ra ba năm sau khi các cơ quan quân sự Mỹ cấm sử dụng máy bay không người lái DJI vì nhiều nguyên nhân. Hồi tháng 1, Bộ Nội vụ Mỹ đã có chính sách hạn chế sử dụng máy bay không người lái do các thương hiệu Trung Quốc sản xuất vì lo ngại dữ liệu bị rò rỉ cho chính quyền Bắc Kinh.