Nul
Drone-entusiaster og ejere af enheder, der er fremstillet af DJI nødt til at downloade en kompatibel app til at styre deres legetøj i luften.
Det er forholdsvis ligetil-du downloade den mobile app til Apple ‘s iOS eller Google’ s Android styresystem, skal du installere “DJI Gå” software, og væk du går.
Men besøgende kan blive vildledt i præcis, hvor de henter deres programmer fra.
Et indlæg offentliggjort på GitHub beskriver problemet. Når brugerne går via DJI hjemmeside for at downloade den nødvendige app til deres smartphone eller tablet, de bliver mødt med et “Få Det På Google Play” – billede.
CNET: Facebook angiveligt mener, spammere var bag massive hack
Det betyder dog ikke, gå til Google Play-butikken, men i stedet vil klikke på download .APK fil direkte fra DJI servere til en enhed.
Der er også en “Hente på App Store” knap, som gør dirigere brugere til den officielle Apple App Store.
DJI tilbyder den officielle app gennem begge butikker, sammen med QR-koder der kan scannes — Android-version, som også trækker .APK direkte fra DJI og ikke Google Play, ifølge forskeren.
Det er interessant, at det også ser ud til, at app-version på serveren kan afvige en smule. Ifølge den anonyme bidragyder, “konfigurationsfiler, der er til stede i DJI version, som ikke er i Google Play version,” og der er nogle billede filer og kildekode forskelle mellem de to.
Det er vigtigt at bemærke, at der er intet, der tyder på, at der i nogen måde DJI servere er usikker eller har været i fare.
Men dette er ikke pointen.
Når du henter et program fra App Store eller Google Play, du er opmærksom på, at app ‘ en har gennemgået en række sikkerhedskontroller og processer for at sikre, at den software, du er ved at downloade og eksekvere er ikke skadelig.
Mens nogle apps vil uundgåeligt slip nettet i almindelighed, programmer, der er hentet fra disse officielle kilder er langt sikrere end dem, du har downloadet fra tredje-parts servere.
Internettet er fyldt med falske og ondsindede versioner af legitime apps, der er gemt i tredje-parts servere for at downloade. Hvis en bruger downloader og installerer disse apps, kan dette føre til overvågning, konti og mobile enheder bliver smittet med noget fra Trojanske heste, at ransomware.
TechRepublic: Top 5 måder at maksimere kundernes data sikkerhed
Hertil kommer, at der har været tilfælde af lovlig servere, som tilbyder apps uden for disse butikker, der er kompromitteret af hackere, og fyldt med malware.
Ved hjælp af en knap, der proklamerer, at app ‘s kilde er fra Google Play, brugerne får at vide, at app’ en kommer fra denne særlige, pålidelig kilde. Det er vildledende, og selv hvis det skulle blot vise sig at være en forglemmelse, ikke burde have fået lov til at opstå.
Hvis en bruger er glad for at påtage sig risikoen for at downloade en mobil-applikation uden for App Store eller Google Play, det er fint-men enten måde, er kilden til download bør gøres klart, at brugeren i første omgang.
Se også: Oceansalt cyberattack bølge knyttet til hedengangne Kinesiske APT Kommentar Besætning
Google blev rapporteret informeret om problemet, men konkluderede, at problemet var uden for virksomhedens rækkevidde.
Opdatering 13.24 BST: DJI bekræftet til ZDNet, at linket var en forglemmelse. En DJI talsmand sagde:
“Kort sagt, at dette var en ulykke. Hvert logo er beregnet til at linke til sin formidles kilde — der, som du påpeger i din artikel, er, hvordan det er med App Store mulighed. Vi sætter pris på at være informeret om de fejl og har allerede rettet linket.”
I forhold til forskellen mellem konfigurationsfiler, talsmand sagde:
“Forskellen er simpelthen på grund af den 100mb grænse på Google Play’ s ressource-pakken. Vores APK pakke er større end 100 mb, så når brugerne downloade app ‘ en på Google Play, kan de også hente en ressource, plaster, der indeholder de resterende info nødvendige for en vellykket installation.”
Tidligere og relaterede dækning
MIT opfindelsen bygger hukommelse mure for at beskytte mod Nedsmeltning, Spectre angriber Skaberen af fjernadgang værktøj LuminosityLink sendt bag tremmer Nul-dage, fileless angreb er nu den mest farlige trusler mod virksomheden
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0