Cyberthreat.id - Penelitian terbaru dari perusahaan keamanan siber yang berbasis di Amerika Serikat (AS) dan Prancis mengungkap masalah keamanan yang terdapat pada aplikasi Android resmi yang dikembangkan DJI asal China. Kedua perusahaan itu adalah GRIMM (AS) dan Synacktiv (Prancis) berkolaborasi melakukan riset dan penelitian terhadap perangkat lunak DJI.

DJI dikenal sebagai produsen kendaraan udara tak berawak komersial (drone) untuk kepentingan fotografi udara dan videografi. Perusahaan berbasis di Shenzen, China, juga merancang dan memproduksi gimbal kamera, kamera aksi, stabilisator kamera, platform penerbangan dan sistem propulsi, serta sistem kontrol penerbangan.

Menurut penelitian GRIMM dan Synacktiv, masalah keamanan terdapat di aplikasi DJI GO 4 - peranti lunak untuk mengemudikan drone DJI. Masalah keamanan ditemukan pada aplikasi DJI GO 4 versi V4.5.4.46_200426 (rilis 12 Mei 2020), V4.3.25-2036168 (rilis Oktober, 2019) dan V4.1.22-3028592 (rilis Desember 2017).

Aplikasi tersebut diyakini telah dilengkapi dengan mekanisme pembaruan otomatis pada pengguna tanpa merutekannya melalui Google Play Store. Hal ini, menurut peneliti, dapat digunakan untuk menginstal aplikasi berbahaya dan mengirim informasi pribadi ke server DJI.

"Mekanisme ini sangat mirip dengan server perintah dan kontrol (command and control) yang menemui malware," kata Synacktiv dikutip dari The Hacker News, Jumat (24 Juli 2020).

Synacktiv menerangkan bahwa aplikasi tersebut meminta izin (akses) yang sangat luas dan juga mengumpulkan data pribadi para pengguna.

"Mengingat izin luas yang diperlukan oleh DJI GO 4 - kontak, mikrofon, kamera, lokasi, penyimpanan, mengubah konektivitas jaringan - server DJI atau Weibo Cina hampir memiliki kendali penuh atas telepon pengguna," ujar peneliti Synacktiv.

DJI GO 4 telah diunduh dan diinstal oleh lebih dari satu juta pengguna melalui Google Play Store. Masalah keamanan yang diidentifikasi tidak berlaku untuk versi iOS.

Bantahan DJI

CEO GRIMM, Brian DeMuth, mengatakan penelitian yang dilakukan murni dari sudut pandang teknis. Jika pengguna mendapatkan akses ke server DJI atau seseorang yang memiliki otoritas hukum atas DJI, didapatkan kesimpulan kesimpulan bahwa aplikasi ini bisa menargetkan pengguna, tidak hanya untuk eksploitasi massal, tetapi juga eksploitasi yang ditargetkan.

"Yang menjadi perhatian disini adalah Anda dapat mendorong pembaruan ke perangkat. Pembaruan itu dapat mencakup ... Exploit yang mengambil alih telepon. Dari sana, Anda memiliki akses ke semuanya," kata DeMuth seperti diberitakan CyberScoop.

Hasil penelitian menemukan aplikasi juga memanfaatkan file Mob SDK (Android Software Development Kit) untuk meningkatkan metadata tentang ponsel, termasuk ukuran layar, kecerahan, alamat WLAN, alamat MAC, BSSID, alamat Bluetooth, nomor IMEI dan IMSI, nama operator, nomor seri SIM, informasi kartu SD, bahasa OS serta informasi lokasi.

Menurut para peneliti, informasi pribadi yang dikumpulkan tersebut seharusnya tidak diperlukan untuk pengoperasian drone. Tentu saja ini menimbulkan kekhawatiran bahwa data dan informasi dikumpulkan untuk kegunaan apa.

Sementara itu, seorang juru bicara DJI mengatakan fitur pembaruan otomatis diperlukan untuk memastikan pengguna drone tidak meretas sistem. Jika tidak, pengguna atau penjahat cyber dapat melanggar peraturan pemerintah tentang berbagai hal, seperti dimana mereka dapat menerbangkan drone dan seberapa tinggi penerbangannya.

"Dalam versi yang akan datang, pengguna juga dapat mengunduh versi resmi dari Google Play jika tersedia di negara mereka. Jika pengguna tidak setuju untuk melakukannya, versi aplikasi mereka yang tidak sah (diretas) akan dinonaktifkan karena alasan keamanan," kata juru bicara DJI dilansir The New York Times.

Perusahaan China, termasuk DJI memang tengah dalam peningkatan pengawasan AS terkait masalah keamanan nasional, khususnya dari US Department of Homeland Security (DHS). DJI, menurut DHS, mengandung komponen yang dapat membahayakan data pengguna dan membagikan informasi pengguna kepada server yang diakses di luar perusahaan. []

Redaktur: Arif Rahman