研究人员上周四在大疆无人机开发的AndroidApp中发现了多个安全漏洞。App的自动更新机制可以绕过GoogleAppStore,被用来安装恶意软件。向DJI的服务器应用和传输敏感的个人信息。网络安全公司Synacktiv和GRIMM的两份报告显示,DJI无人机Go4Android应用程序不仅需要一些额外的权限,还会收集IMSI、IMEI、SIM卡序列号等个人数据,使用反调试和加密技术绕过安全分析。这种机制与恶意软件使用的C2服务器非常相似。考虑到Go4Android应用程序需要联系人、麦克风、摄像头、位置、存储和修改网络连接的权限,DJI和微博服务器几乎可以完全控制用户的手机。根据GooglePlay商店的数据,Go4的下载量和安装量超过100万次。研究人员在应用程序中发现的错误不会影响iOS版本。由于更新机制研究人员逆向了Go4App,他们发现了一个URL——hxxps://service-adhoc.dji.com/app/upgrade/public/check,用于下载应用更新和提醒用户授权权限安装未知的应用程序。研究人员修改了url中请求发起任意应用程序更新的请求,发现首先提示用户允许安装不受信任的应用程序,然后在更新安装完成之前阻止用户使用该应用程序。这直接违反了GooglePlay商店的规则,攻击者还可能破坏更新服务器并向用户发送恶意应用程序更新。此外,App关闭后仍可在后台运行,使用微博SDK(“com.sina.weibo.sdk”)安装任何已下载的App。GRIMM表示,它没有发现任何证据表明任何漏洞被利用来安装针对用户的恶意应用程序。此外,研究人员还发现该App利用MobTechSDK窃取了手机的元数据,包括屏幕尺寸、亮度、WLAN地址、BSSID、蓝牙地址、IMEI和IMSI号、运营商名称、SIM序列号、SD卡信息、操作系统语言和内核版本以及位置信息。大疆回应称,大疆回应称,相关研究结果与美国国土安全部等人的报告相悖。美国国土安全部的报告称,没有证据表明政府和企业使用的大疆APP之间存在数据传输连接。此外,目前没有证据表明该漏洞已被利用。在未来的版本中,用户将能够从GooglePlay商店下载官方应用程序版本,如果用户使用未经授权(破解)的版本,出于安全原因,该应用程序将被禁用。去年5月,美国国土安全部发出警告称,使用大疆无人机的商业用户的数据可能存在风险,因为大疆无人机包含可以侵入其数据并在服务器上共享信息的组件。
