A kis sunyi DJI

Írtam korábban, hogy beruháztam egy DJI Osmo Pocket 2 zsebkamerába. Pénteken megvettem. Azt is írtam, hogy tetszik és alig várom, hogy kipróbálhassam.
Szombaton visszavittem a boltba. Nem kell.
Pedig még ki sem próbáltam. Egyszerűen el se jutottam odáig.

Azért ez valahol bravúros.

Hazahoztam. Rádugtam a töltőre. Közben átfutottam a belecsomagolt minimanuált, illetve letöltöttem a nagyot. Mindkettő azzal kezdte, hogy töltsem le a store-ból a DJI MIMO applikációt a mobiltelcsire. Legyintettem. Eszem ágában sem volt összelőni a kamerát a mobillal. Fel akarok venni dolgokat, utána az SD kártyát bedugom a laptopba és úgy másolom fel a hálózatra az anyagot.
Időközben feltöltődött árammal a cucc. Olvastam tovább. Aktiváljuk. Hogyan? Hát a mobil alkalmazásból. Máshogyan nem lehet. Akkor nem aktiválom. Erre induláskor kiírta, hogy aktiválás nélkül van 5 bekapcsolási lehetőségem. Amelyből már csak 4 maradt. Hogy mi lesz utána, azt nem részletezte, de semmi jóra nem számítottam. Még a végén lelövik a macskámat.
Na mindegy, úgy látszik, ezt nem úszom meg. Azt mondja a manuál, hogy Play Store, keressek rá, telepítsem. Rákerestem. Nincs ilyen alkalmazás. Mivan??!!!
A találati lista első helyén valami DJI GO (before P4) alkalmazás figyelt, beleolvastam, ez gyakorlatilag drónvezérlő alkalmazás, de elméletileg jó fényképezőgépre is. Feltelepítettem. Utána elcsesztem majd egy órát, mert kipróbáltam mindenféle variációt: a csatlakoztatásnál négy opciót dobott fel, a programindításkor meg hármat, nem volt egyértelmű a választás, így kipróbáltam mindegyiket. Egyikkel sem látta az eszközt. (Pedig a nyitóképen pont egy ilyen zsebkamera illegette magát.)
Letöröltem. Hogyan tovább? Nézzünk rá a gyártó oldalára, biztosan van ott valami fórum. És igen, van. Sőt, van is ilyen téma. Na, itt durrant el rendesen az agyam. Érdemes végigfutni.
Azt írja mind az adminisztrátor, mind a szupermoderátor, hogy bocsi, de ők, azaz a DJI, leszedték az alkalmazást a Play/App Store-ból, csak a weboldalukról lehet letölteni. Miért? Nincs válasz. Csak annyi, hogy bocs, nincs időnk felrakni. Meg elnézést. Azért ilyenkor beindul a para. Ez egy kínai cég, amely olyan termékeket gyárt (drón, kamerák, kamera-alkatrészek), melyekkel remekül lehet kémkedni. Emellett pedig mind a két alkalmazásbolt (Google, Apple) mostanában kezdte kiszórni a gyanús szoftvereket.
Aztán itt van egy válasz, mint megoldás, ezt ki is másolom.

I have Android – Galaxy Note 9 and got my issue resolved, was able to get the app. Here is how I did it:
1. dji.com/ downloads/djiapp/dji-mimo Clicked on download file from this website
2. The file saves in “My Files”, so I searched for the Settings in my phone for “install unknown sources”, found the “My Files” app and selected “allow” button to allow this app to install unknown sources. Then I did the same for my Chrome browser, which it uses to open up the file.
3. Clicked on the .apk downloaded file from “My Files” folder and then it opened and asked me if I wanted to install the DJI app.
4. Once the app opens there are a few prompts in another language — those prompts are just for allowing access to location and camera. Just select OK.

Azaz engedélyezzem a Chrome-ban, hogy vizsgálat nélkül letöltsön bárhonnan egy alkalmazást, majd engedélyezzem a ‘My Files’-ban, hogy vizsgálat nélkül telepítsen bárhonnan származó alkalmazást, majd adjak meg a feltelepített alkalmazásnak egy szakajtó jogosultságot, mely jogosultságokra vonatkozó kérdések valamilyen ismeretlen nyelven érkeznek. Egy kínai alkalmazásnál. És ez a gyártó által támogatott mód. (Mert amit hivatalosan írnak, hogy töltsd le az appot a boltból, az nem működik.)

Normális?

Szépen összecsomagoltam és visszavittem a boltba.

Ha nagyon akartam volna, nyilván meg tudtam volna oldani. Itt van a fiókomban a régi telefonom, ha nem is százas, de egy ilyen regisztrációt végig tudtam volna csinálni rajta. De elegem lett az egészből. Kösz, inkább nem. Egyébként is billegő vásárlás volt, hetek úta törpölök azon, hogy megér-e nekem 140e forintot az, hogy az egyébként is ritka álló felvételek minősége jobb legyen? Sokáig a ‘nem’ válasz dominált, aztán ránéztem az euróra, meg az alapkamatra, meg arra, hogyan számol inflációt a prémium állampapír és azt mondtam, takarékoskodjon itt az, akinek két anyja van, egyébként is, lehet, hogy ez a gimbalos zsebkamera máshol is beválik, próbáljuk ki.
Gyors próba volt.
Miközben a kamera valószínűleg tök jó cucc lehet. Műszakilag.
Csak odáig el is kellett volna jutnom.

[PS1]
Ezt később találtam. A vizsgált program a DJI GO 4 alkalmazás. (Ez a korábban említett DJI GO újabb változata, a Phantom 4 utáni drónokhoz.)
Izgi.

Chinese-made drone app in Google Play spooks security researchers

Különösen ez a rész.

According to the reports, the suspicious behaviors include:
– The ability to download and install any application of the developers’ choice through either a self-update feature or a dedicated installer in a software development kit provided by China-based social media platform Weibo. Both features could download code outside of Play, in violation of Google’s terms.
– A recently removed component that collected a wealth of phone data including IMEI, IMSI, carrier name, SIM serial Number, SD card information, OS language, kernel version, screen size and brightness, wireless network name, address and MAC, and Bluetooth addresses. These details and more were sent to MobTech, maker of a software developer kit used until the most recent release of the app.
– Automatic restarts whenever a user swiped the app to close it. The restarts cause the app to run in the background and continue to make network requests.
– Advanced obfuscation techniques that make third-party analysis of the app time-consuming.

Ez gyakorlatilag képes megerőszakolni a nemlétező kutyámat is.

(Engem annyira meglepett az írás, hogy gyorsan rá is kerestem az Ars Technica hitelességére. Meggyőző.)

[PS2]
Érdekes módon ez a bizonyos DJI GO 4 – a fentiek ellenére is – még letölthető a Play Store-ból.

De nézzük, mi van a jó öreg DJI Fly applikációval? Dacára, hogy a GO-ból mindenféle verziók léteznek, működik még a Fly is, sőt, kifejezetten ajánlott, mert bizonyos funkciók csak ebből az alkalmazásból érhetők el. Itt van egy nagyon alapos írás a témáról.
Aztán… hoppá. Idézek a cikkből.

2. Tap on ‘Download Android APK’. If a warning that says ‘file might be harmful’ pops up, tap on ‘Download anyway’.

4. If the browser you are using shows you a warning telling you that you cannot install apps from unknown sources, tap on Settings and allow it to Install Unknown Apps.

Gyorsan rá is kerestem, és igen, a hír igaz. A DJI Fly is eltűnt a Play Store-ból. Amiben az a különösen vicces, hogy ha nem ezt az alkalmazást használom a drón vezérlésére, akkor ugrott a garancia. Most viszont töprenghetek, hogy a jelenleg is használt, még alkalmazásboltos program vajon tiszta-e (már ha egyáltalán létezik ilyen kategória), vagy csak azért volt letölthető, mert még nem vizsgálták meg? De majdhogynem mindegy is, egy telefoncserénél már csak a felettébb gyanús változatot tudnám telepíteni, feltéve, hogy ragaszkodok a garanciához.

Végül már csak egy kérdésem maradt. A fenti információk birtokában hogy a fenébe engedélyezhetik a nyugati világban ezeket a drónokat?

[PS3]
Ja, bocs. Mégsem.

This month’s reports come three years after the US Army banned the use of DJI drones for reasons that remain classified. In January, the Interior Department grounded drones from DJI and other Chinese manufacturers out of concerns data could be sent back to the mainland.
– Idézet az Ars Technica cikkéből –

[PS4]
Persze jó vagyok én is. Pampogok itt a mobiltelefonom biztonságáról. Mármint a kínai mobiltelefonom biztonságáról.

8 Comments

  1. “Csak mert paranoid vagy, nem biztos, hogy nem üldöznek” – nekem ez a szakmam (marmint security) es ugyanaz a helyzet mint a general IT-ban. Azt gondolja mindenki, hogy tervezes, mernoki precizitas, feleloseg, es komoly szakmai munka van a termekek es a megoldasok mogott. Pedig a realitas az amit te is irtal (valamikor nem tudom mikor pontosan mert ossze vissza ugralok a posztok kozott), hogy szar, gany, toldozot foldozott, eppen csak egyebentartott rendszerek vannak….

    • Ezt többször is írtam, nekem pont az ilyen toldozott-foldozott rendszerek üzemeltetése a szakmám. :)
      Itt viszont mást is érzek. Gondolj bele, a gyártó csak úgy engedi, hogy használd a termékét – konkrétan egy kamerát, amit egyszerűen csak be kellene kapcsolni és nyomkodni a felvétel gombot – ha kikapcsolod a mobiltelefonod védelmi rendszerét és feltelepítesz rá egy bizonyítottan gyanús kínai alkalmazást. Ez nem feltétlenül gányolás, én érzek benne nem is kicsi szándékosságot.
      Nyilván rendszeresen találkozol azzal, , hogy a legtöbb rosszindulatú kód úgy indul hódítani, hogy megpróbálja meggyőzni a felhasználót arról, hogy csak most az egyszer, a jutalom érdekében kapcsolja ki a védelmi rendszerét. Na most, ezt a manipulációt egy nem is olcsó termék használhatóságához kötni, az elég nagy disznóság és felettébb gyanús.

  2. Igen, erről szólt az első mondat, nyilván szándékos, hogy a kínai gyártó alkalmazása, hardware eszköze tele van “lyukakkal” ez nem konkrétan ellened irányul, inkább a koncepció az, hogy “sohase lehessen tudni mikor jön jól”. A kíberbűnözés (vazze, vagy 15 éve nem használok magyar szakmai kifejezéseket) pont olyan mint a cloud, a titka az “economy of scale”….és belegondolni is borzasztó, hogy mennyi adatot szipkáznak be ilyen eszközökön keresztül, amit aztán feldolgoznak, kategorizálnak, elemeznek, eltárolnak….. és akkor az ilyen államilag támogatott eszközgyártókon felül még vannak a valódi bűnözök….akik szintén economy of scale jelleggel scannelnek es spammelnek (phishing) mindenkit és mindenhol.

    10 évvel ezelőtt ha valami egoztikus IPről scannelték az éles környezeteket, azt lecsekkoltuk, és felraktuk firewall blockra ha olyan volt, manapság már olyan mértékű a scannelés hogy nem üti meg a security event szintet, nincs tirage rá, eldobja a firewall, nem foglalkozunk vele….

    Bruce Schneier szerint se az a baj, hogy az US szervei védekeznek, illetve adatokat gyűjtenek a csúnya arcokról, hanem az a baj hogy mindenkiről mindent gyűjtenek válogatás nélkül. Illetve az, hogy az USA megfelelő szervei veszik, építik, és használják a zero day-ket szándékosan gyengítve _mindenki_ biztonságát, ahelyett, hogy megosztanák az infot és erősítenék a védekezést….

    Szóval kutya egy világ ez, és igenis paranoidnak kell lenni..

    and so on.

    És ha nem lenne az ember elég paranoiás, kiderül, hogy az USA-ban már (még?) a posta is kémkedik.

    https://www.theguardian.com/business/2021/apr/23/usps-covert-program-postal-service-social-media

    https://www.politico.com/news/2021/09/27/covert-postal-service-514327

  3. Szia!

    Ha kell egy, jövő héten kölcsön tudom adni. Proxy5-nak írj :) Aktiválva van, nem kell már hozzá telefon.

    Üdv
    Sanyi

    • Köszi, de elengedtem. Egyelőre marad a mobiltelefon. (Illetve az új mikrofon olyan jól teljesített a teszten, hogy lehet, hogy az állófelvételekhez is az akciókamerát fogom használni.)

  4. Re PS4:
    Már hosszú évek óta nem veszek és nem használok semmit ami kínai és processzor van benne.
    Na jó, van egy Segway rollerem, de nem használom az app-ját.
    Egyszer pár éve egy nagy cég kezdte lecserélni az épületeiben használt WiFi AP-ket Huawei-re. 9 számjegyű tételre kell gondolni forintban egy ilyen csere esetén. Bekapcsolás után a tűzfalasok látták hogy a cuccok valami kínai IP-vel azonnal nekiálltak (illetve próbáltak) kommunikálni.
    Ment a kukába a cucc, mert ez a cég nem a magyar külügy…

  5. Azért ez így ebben a formában nem igaz, hogy “mindenféle vizsgálat nélkül települ”. Ha van víruskereső a telefonon (akár alapból, akár mert tettél fel rá), és megfelelően beépül a rendszerbe, akkor alkalmazástelepítés előtt meg tud futni rá a vírusvédelem. A Samsung telefonoknak pedig szerves része egy vírusszűrő, úgy tudom. De a legtöbb ismert víruskeresőnek van Androidos és/vagy iOS-es verziója.

    Az “unknown source” az meg tényleg csak annyit jelent, hogy akár a saját SD kártyádról is feltelepíthess egy backupolt APK-t, ami mondjuk már nincs fenn a store-ban, de letöltötted előtte kézzel.

    • Nem vagyok biztos benne, hogy rám reagáltál. Én legalábbis nem írtam olyasmit, hogy “mindenféle vizsgálat nélkül”. De ez most nem is lényeges. Ugyanis nem arról van szó, hogy valamilyen kártékony kódot telepítesz fel a mobilod védelme ellenére, hanem egy hátsókapukat bőven tartalmazó kódot teszel fel az alkalmazásbolt védelme ellenére. Azaz maga az alkalmazás nem csinál semmi rosszat, csak éppen belépést kínál olyan alkalmazások számára, amelyek már igen.

Leave a Reply

Your email address will not be published.