周四,网络安全研究人员披露了无人机制造商DJI开发的Android应用程序中的安全漏洞。该应用程序具有绕过GooglePlay商店自动更新机制的功能,可以自动安装恶意应用程序,还可以将敏感的个人信息传输到DJI的服务器。网络安全公司Synacktiv和GRIMM的报告发现,DJI的Go4Android应用程序不仅要求广泛的许可权限并收集个人数据(IMSI、IMEI、SIM卡的序列号),而且还采用反调试和加密技术来防止安全分析。Synacktiv说:“这种操作原理与C&C服务器中的恶意软件非常相似。”由于DJIGO4需要获取用户的多项权限,包括联系人、麦克风、相机、位置、存储、网络连接更改,大疆或微博中文服务器几乎完全控制了用户的设备。”GooglePlay商店安装量达100万次。然而,应用程序中发现的安全漏洞并不影响未混淆且没有隐藏更新功能的iOS版本。“未知”的自我更新机制GRIMM表示,这项研究是为了应对由一家匿名国防和公共安全技术供应商进行的安全审计,以“调查DJI无人机在AndroidDJIGO4应用程序中的机器隐私问题”。在对该应用程序进行逆向工程时,Synacktiv发现了一个用于下载应用程序更新并提示用户授权“安装未知应用程序”的URL(“hxxps://service-adhoc.dji.com/app/upgrade/public/check”)的存在允许。“我们修改了这个请求,因为它会触发任意应用程序的强制更新。首先,系统会提示用户授权安装不受信任的应用程序,此外,通过阻止使用来强制用户更新,”研究人员说。该功能不仅直接违反了GooglePlay商店指南,而且还产生了很多后果。攻击者可能会破坏更新服务器,以针对用户进行恶意应用程序更新。更令人担忧的是,该应用程序关闭后仍继续在后台运行,并利用微博SDK(“com.sina.weibo.sdk”)安装任意下载的应用程序,让微博直播用户自动发帖无人值守视频。GRIMM表示,它没有发现恶意软件已被利用的证据。除其他外,研究人员发现该应用程序利用MobTechSDK悬停有关手机的元数据,包括屏幕尺寸、亮度、WLAN地址、MAC地址、BSSID、蓝牙地址、IMEI和IMSI号码、运营商名称、SIM序列号编号、SD卡信息、操作系统语言和内核版本以及位置信息。DJI对调查结果提出异议DJI将调查结果称为“典型的软件问题”,DJI对这项研究提出异议,称“美国国土安全部(DHS)、BoozAllenHamilton和其他机构的报告并未发现DJI是政府和专业人士是客户设计的应用程序中意外数据传输连接的证据。该公司表示:“没有证据表明它们被利用,也没有用于政府和专业客户的DJI飞控系统,并且不能自行重启”“”在新版本中,用户还可以从他们的国家/地区下载GooglePlay的官方版本。如果用户不下载,出于安全原因,其未经授权(被黑客入侵)的应用程序版本将被禁用。全球最大的商用无人机制造商大疆因国家安全问题而受到其他中国公司的抨击。在越来越严格的审查中,美国内政部于1月初停飞了其DJI无人机机队。去年5月,美国国土安全部警告许多公司,如果他们使用中国制造的商用无人机,将会很危险。数据可能会受到损害,包括数据损坏、公司外部服务器上的信息共享等风险。”这一决定清楚地表明,美国政府对大疆无人机的重视是因为DOI机队(注:DOI整个机队使用中国制造的零部件,大疆是其零部件供应商之一)。这与安全无关,但部分出于政治动机,旨在减少市场竞争并支持国产无人机技术。’该公司在一月份的一份声明中说。
