DJI rimuove i plugin spioni dalle sue app

Con il rilascio del firmware obbligatorio per il nuovo Spark, DJI ha dimostrato che l’incolumità delle persone rappresenta la massima priorità. Il produttore cinese ha annunciato altre due novità che garantiscono anche la sicurezza software, ovvero la rimozione di alcuni plugin dalle app e l’avvio di un bug bounty program.

DJI ha aggiornato le app GO e GO 4 per eliminare una vulnerabilità che potrebbe essere sfruttata per raccogliere un numero eccessivo di informazioni. Gli utenti sono quindi invitati a scaricare le ultime versioni di DJI GO 4 (4.1.7 per iOS e 4.1.5.3 per Android) oppure di DJI GO (3.1.15 per iOS e 3.1.11 per Android) dagli store Apple e Google. Il bug è stato individuato in tre plugin di terze parti, ovvero JPush, jsPatch e Tinker, che il produttore cinese ha rimosso in quanto non soddisfano gli standard di sicurezza richiesti.

JPush veniva utilizzato per inviare una notifica al termine dell’upload dei video sulla piattaforma di sharing SkyPixel. DJI ha scoperto che il plugin inviava al server remoto dati non necessari, come l’elenco delle app installate sullo smartphone, quindi è stato rimosso e la sua funzionalità verrà in futuro reintrodotta dallo stesso produttore. Lo stesso trattamento è stato riservato a jsPatch per Android e Tinker per iOS, plugin usati per distribuire update parziali, senza aggiornare l’intera app.

DJI ha infine lanciato il Threat Identification Reward Program che prevede ricompense per chi scopre vulnerabilità nelle app e nei firmware dei droni. Il valore dei premi è compreso tra 100 e 30.000 dollari, variabile in base alla loro gravità. L’obiettivo è creare una community che possa individuare velocemente problemi per la privacy o per l’incolumità delle persone.