大疆无人机被指存在安全漏洞，欲加之罪还是隐私攻击？

上周四，网络安全研究人员披露了无人机制造商大疆创新(DJI)开发的Android应用程序中存在的安全问题。该应用有绕过Google Play商店的自动更新机制的功能，可自动安装恶意应用程序，也可将个人敏感信息传输至DJI的服务器。

这份由网络安全公司Synacktiv和GRIMM提供的报告发现，DJI的Go 4 Android应用程序不仅要求广泛的权限许可及收集个人数据(IMSI，IMEI，SIM卡的序列号)，还采用了反调试和加密技术来阻止安全性分析。

Synacktiv表示：“这种运行原理与C&C服务器中的恶意软件非常相似。”

”因为DJI GO 4需要获取用户的多项权限，包括联系人、麦克风、摄像头、位置、存储、网络连接更改，所以DJI或微博中文服务器几乎可以完全控制用户设备。”

该Android应用程序在Google Play商店的安装次数超一百万。但是，该应用中识别出的安全漏洞不影响未混淆及无隐藏更新功能的iOS版本。

“不为人知”的自我更新机制

GRIMM表示，这项研究是针对一个匿名的国防与公共安全技术供应商的安全审核而进行的，该审核旨在“调查Android DJI GO 4应用程序中DJI无人机的隐私问题”。

研究人员说：“我们修改了此请求，因为它会触发对任意应用程序的强制更新。首先，提示用户授权安装不受信任的应用程序，此外还会在通过阻止使用来强制用户更新。”

此功能不仅直接违反了Google Play商店指南，也产生了很大影响。攻击者可能会入侵更新服务器，使用恶意应用程序更新来锁定用户。

更令人担忧的是，该应用即使在关闭后仍继续在后台运行，并利用微博SDK(“ com.sina.weibo.sdk”)安装任意下载的应用，使得微博直播用户自动发布无人机视频。GRIMM表示，没有发现任何证据证明该恶意软件已被利用。

除此之外，研究人员发现该应用程序利用MobTech SDK的优势来悬停有关手机的元数据，包括屏幕尺寸，亮度，WLAN地址，MAC地址，BSSID，蓝牙地址，IMEI和IMSI编号，运营商名称，SIM序列号，SD卡信息，OS语言和内核版本以及位置信息。

DJI反对调查结果

DJI 称调查结果为“典型的软件问题”，对该研究提出异议，并称“美国国土安全部(DHS)，Booz Allen Hamilton和其他人的报告，均未发现DJI为政府和专业客户设计的应用程序中存在意外数据传输连接的证据。

该公司表示：“没有证据表明它们曾被利用过，也没有用于政府和专业客户的DJI飞行控制系统中，且无法自行重启。”

“在新的版本中，用户也可以从所在国家/地区下载Google Play的正式版本。如果用户不下载，出于安全原因，将禁用其未经授权(被黑客入侵)的应用程序版本”。

（编辑：云计算网_泰州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!