ドローン製造業者DJIは、同社のウェブサイトにあるスマートフォンアプリの「Google Playで入手」ボタンが実際の機能とはまったく異なるものであるとして非難を浴びている。
匿名の読者が木曜日にEl Reg氏に、GitHubでホストされているページを紹介した。そのページでは、AndroidデバイスのユーザーがDJI Sparkソフトウェアのダウンロードページで「Google Playで入手」ボタンをクリックし、QRコード経由でも、予想どおりGoogleの公式ストアにリダイレクトされず、ドローンコントローラーソフトウェアのAndroidバージョンを提供するDJIサーバーにリダイレクトされる仕組みが説明されている。
El Reg は、 Web サイトのボタンをクリックすると実際にこれが起こることを自ら検証しました。
これは特に賢明な策とは言えません。なぜなら、このアプリはGoogle Playストアの通常の悪意のあるコードチェックを通過していない可能性があるからです。もちろん、これらのチェックが完璧というわけではありませんが。また、これはネットユーザーに、スマートフォンにダウンロードされた古いソフトウェアインストーラーは何でも信頼していいと思わせることにもなります。8月にフォートナイトがストアから除外された際にも、同様の懸念が浮上しました。
「リンクをクリックすると、Google Playからではなく、DJIのサーバーからDJI Go Androidアプリが直接ダウンロードされます」と匿名の人物が作成したGitHubページで説明されている。
「ここでの意図は、ユーザーがブラウザで「Google Play で入手」の画像をクリックすることではなく、Android デバイス経由で安全に見える「Google Play で入手」をタップすることです。」
奇妙なことに、DJIは自社のソフトウェアをGoogle PlayストアとiOS App Storeで管理しているとのことです。そのため、これらのサービスを直接利用するユーザーは、GoogleまたはAppleからソフトウェアを入手することになります。Androidデバイス向けにホスト版アプリが提供されるのは、ウェブサイトのダウンロードページのみです。これは警鐘を鳴らすに違いありません。このストア外からのダウンロードに、一体何が特別なのか、あるいは何が望ましくないのか。
はい、ドローンビジネスのDJIのGo 4アプリは中国に電話をかけます - まあ
続きを読む
DJIに何が起こっているのか説明を求め、広報担当者は調査すると述べました。しかし、本記事の執筆時点では、DJI側からはまだ説明がありません。
匿名の報告書が指摘しているように、懸念されるのは、Google によって審査され検査された Android アプリを入手していると思っているユーザーが、実際にはサイド チャネル経由でソフトウェアを入手しているのではないかということです。
Googleはこの活動について報告を受けているものの、まだ何の措置も講じていないと承知しています。興味深いことに、DJIのページで提供されているアプリケーションの.apkは、Playストアで提供されているものと若干異なっているようです。
「一見すると、DJIの.apkとGoogle Playの.apkには明らかに違いがあります」と匿名の調査者は結論づけた。「DJI版にはGoogle Play版にはない設定ファイルがあります。」
今のところ、ウェブサイトのダウンロードが安全でないという兆候はないが、DJI がサイド チャネルを通じて顧客を Google アプリ バザールから遠ざけようとしているのは、控えめに言っても奇妙だ。
DJI から返答があったら、この記事を更新します。®
追加更新
DJI の広報担当者は、ボタンのリンクは事故であり、Google Play ストアを指すように修正される予定であると連絡を取った。
