FILE PHOTO - A Phantom drone by DJI company, equipped with a camera, flies during the 4th Intergalactic Meeting of Phantom's Pilots in an open secure area in the Bois de Boulogne, western Paris

© REUTERS / Charles Platiau

Digital Life
07/24/2020

Chinesische Drohnen-App schockiert Sicherheitsforscher

Die App sammelt Nutzerdaten und ermöglicht es den Entwicklern, Code auf das Smartphone herunterzuladen und zu installieren.

Sicherheitsforscher haben der Android-App DJI Go 4 ein besonders schlechtes Zeugnis ausgestellt. Sie dient der Steuerung von DJI Drohnen und wurde bereits über eine Million Mal aus dem Google Play Store heruntergeladen.

Die Firmen Synactive und Grimm haben die App nun einem gründlichen Sicherheitstest unterzogen und herausgefunden, dass sie bis vor Kurzem sensible Nutzerdaten an die in China betriebenen Server übermittelte. Die App nutzt dafür ein Entwickler-Kit des chinesischen Anbieters Weibo. Zudem hätten die Entwickler gut versteckte Features nutzen können, um die Nutzer auszuspionieren.

"Verhält sich wie Schadsoftware"

So hätten sie jegliche Programme auf das Nutzer-Smartphone herunterladen, installieren und ausführen können, heißt es in den Berichten. Dieses Vorgehen verstößt gegen die Richtlinien von Google. Zudem wurde kürzlich eine Softwarekomponente entfernt, die auf Telefondaten wie IMEI, IMSI, Mobilfunkanbieter, Seriennummer der SIM, Informationen von der SD-Karte, Sprache und Version des Betriebssystems, Displaygröße und Helligkeit, Name des genutzten WLAN-Zugangs und Bluetooth-Adressen zugreifen konnte.

Wurde die App vom Nutzer geschlossen, startet sie automatisch neu und läuft im Hintergrund weiter, heißt es in den Berichten. Sie stellt dann weiterhin Netzwerkanfragen, ohne dass Nutzer dies mitbekommen. Zudem hat man diese Methoden so verschleiert, dass sie nur durch eine aufwendige Analyse ans Licht kamen. Die Sicherheitsforscher verglichen dieses Verhalten mit jenem von Schadsoftware.

Vollständige Kontrolle über Handy

Um die App nutzen zu können sind zahlreiche Berechtigungen nötig, etwa der Zugriff auf Kontakte, Mikrofon, Kamera, Standort, Speicher und die Möglichkeit, die Netzwerkverbindung anzupassen. Damit hätten DJI und Weibo fast vollständige Kontrolle über das Smartphone der Nutzer, so die Sicherheitsexperten. Ob die Möglichkeiten tatsächlich jemals genutzt wurden, konnten sie aber nicht feststellen.

DJI wies die Vorwürfe entschieden zurück. In einem Statement heißt es, die App prüfe regelmäßig, ob sie so modifiziert wurde, dass Flugsicherheitsregeln außer Kraft gesetzt werden. Dann würde der Nutzer aufgefordert, die aktuelle, nicht veränderte, App herunterzuladen. Nicht autorisierte Veränderungen an der App würden ebenfalls der Sicherheit dienen. Dass die App nach beenden neu startet könne man nicht reproduzieren, prüfe das aber. Zudem handle es sich bei einigen genannten Problemen um Bugs, die bereits teilweise behoben wurden.

Gegenüber Ars Technica sagte ein Google-Sprecher, man prüfe den Fall derzeit. iOS-Nutzer sind laut den Berichten nicht von den Sicherheitslücken betroffen.