DJI Drone’larını Etkileyen Kritik Bir Güvenlik Zafiyeti Tespit Edildi

Siber güvenlik araştırmacıları, Çin merkezli drone üreticisi Da Jiang Innovations (DJI) tarafından sunulan Android uygulamasında güvenlik zafiyetleri tespit etti. DJI uygulamasında ortaya çıkarılan zafiyet, Google Play Store güvenlik bariyerlerini bypass etmeyi sağlayan otomatik güncelleme mekanizması ile harekete geçiyor. Güvenlik zafiyetinin DJI sunucularına kötü amaçlı yazılım yüklemek ve hassas şahsi bilgilere erişmek için kullanılabileceği belirtildi.

İki ayrı güvenlik analizinde tespit edilen zafiyet ile birlikte şifreleme yöntemleri ve antivirüs çözümlerini durduran yöntemler kullanan DJI Go 4 adlı Android uygulaması, yüklendiği cihazlarda sınırsız erişim izni talep ederek SIM Card’ın seri numarasını temsil eden IMSI ve IMEI bilgilerini toplayabiliyor.

Analizler, uygulama aracılığıyla kullanılan mekanizmanın kötü amaçlı yazılım bulaşan kumanda ve kontrol sunucularında (CCS) rastlanan saldırılarla benzerlik taşıdığını gösterdi.

DJI Go 4, kullanıcılara yönelttiği talepler ile akıllı telefonun bağlantıları, mikrofonu, kamerası, konumu, belleği ve ağ ayarlarına erişebiliyor. Bu şekilde, DJI veya Weibo (Çin’in Google’ı şeklinde özetlenebilen platform) sunucuları kullanıcıların telefonları üzerinde neredeyse tam hakimiyet elde ediyor.

Google Play Store’de bugüne kadar 1 milyondan fazla yüklenen uygulamada tespit edilen güvenlik açığı, iOS versiyonunda ise bulunmuyor. App Store’daki Go 4 uygulamasında gizli mekanizma bulunmadığı gibi herhangi bir otomatik güncelleme mekanizması da yer almıyor.

Gizli otomatik güncelleme mekanizması

Go 4 uygulamasına yönelik güvenlik analizler, adı açıklanmayan bir savunma ve kamu güvenlik teknolojileri şirketinin talebi üzerine başlatıldı. Tersine mühendislik yöntemiyle ilk olarak “hxxps://service-adhoc.dji.com/app/upgrade/public/check” URL’si ortaya çıkarıldı. URL’nin otomatik güncellemeyi indirdiği ve kullanıcıları “Bilinmeyen Uygulamalar İndirmesi” için izin vermeye teşvik ettiği anlaşıldı.

Tespit edilen güvenlik zafiyeti Google Play kurallarını tamamen ihlal etmesinin yanı sıra güncelleme sunucularını kötü amaçlı yazılımlar ile enfekte etme riski de taşıyor. Uygulama, telefonda kullanılmadığı zamanlarda bile arka planda çalışmaya devam ediyor ve bir Weibo SDK (yazılım geliştirme kiti) aracılığıyla rastgele uygulama indirilmesine neden oluyor. Böylelikle Weibo üzerinden drone uçuşuna ait çekimin gerçek zamanlı yayınlanma içeriği sunuluyor. Öte yandan güvenlik araştırmacıları bu içeriğin kötü amaçlı yazılım yükleyen kimseleri hedef almak için kullanıldığına dair bir delil bulunmadığını kaydetti.

Uygulama tüm bunların yanında MobTech SDK kullanarak yüklü olduğu akıllı telefon hakkında büyük miktarda veri çekiyor. Bu bilgiler arasında telefonun büyüklüğü, parlaklığı, WLAN adresi, MAC adresi, temel hizmet dizin tanımlayıcıları (BSSID), Bluetooth adresleri, IMEI ve IMSI numaraları, üreticinin adı, SIM seri numarası, SD kart bilgisi, işletim sisteminin dili ve kernel versiyonu ile konum bilgisi yer alıyor.

ABD-Çin gerginliğine dahil olabilir

DJI, güvenlik analizlerine ait sonuçları, “standart yazılım endişeleri” şeklinde tanımladı. Şirket ayrıca ABD Ulusal Güvenlik Bakanlığı (DHS), Booz Allen Hamilton ve diğer kurumlardan “DJI uygulamalarının profesyonel kullanıcılar ve devletlerden veri sızdırmadığına yönelik” raporlar sunulduğunu hatırlattı.

Güvenlik zafiyetinin müşteriler ve devletleri zor duruma düşürdüğüne dair bir delil bulunmadığının altını çizen DJI, söz konusu sorunun devlet veya profesyonel kullanıcılar tarafından DJI uçuş kontrol sistemlerinde etkili olmadığını öne sürdü.

Dünyanın en büyük ticari drone üreticisi olan DJI, yakın zamanda birçok güvenlik denetimine tabi tutulmuştu. ABD İçişleri Bakanlığı, Ocak 2020’de DJI drone’larından oluşan filosunu devre dışı bırakma kararı almıştı. ABD Ulusal Güvenlik Bakanlığı da geçtiğimiz Mayıs ayında yaptığı uyarıda, Çin’de üretilen drone’ların “verileri çalan ve farklı şirketlerin sunucularına aktaran donanımlar taşıyor olabileceği” uyarısında bulunmuştu. DJI ise ABD İçişleri Bakanlığı‘nın Ocak ayında aldığı kararın “güvenlik ile bağlantılı olmadığını ve politik sebeplerle tetiklendiğini” öne sürmüştü.