上周四，網(wǎng)絡(luò)安全研究人員披露了無(wú)人機(jī)制造商大疆創(chuàng)新(DJI)開發(fā)的Android應(yīng)用程序中存在的安全問(wèn)題。該應(yīng)用有繞過(guò)Google Play商店的自動(dòng)更新機(jī)制的功能，可自動(dòng)安裝惡意應(yīng)用程序，也可將個(gè)人敏感信息傳輸至DJI的服務(wù)器。

這份由網(wǎng)絡(luò)安全公司Synacktiv和GRIMM提供的報(bào)告發(fā)現(xiàn)，DJI的Go 4 Android應(yīng)用程序不僅要求廣泛的權(quán)限許可及收集個(gè)人數(shù)據(jù)(IMSI，IMEI，SIM卡的序列號(hào))，還采用了反調(diào)試和加密技術(shù)來(lái)阻止安全性分析。

Synacktiv表示：“這種運(yùn)行原理與C&C服務(wù)器中的惡意軟件非常相似。”

”因?yàn)镈JI GO 4需要獲取用戶的多項(xiàng)權(quán)限，包括聯(lián)系人、麥克風(fēng)、攝像頭、位置、存儲(chǔ)、網(wǎng)絡(luò)連接更改，所以DJI或微博中文服務(wù)器幾乎可以完全控制用戶設(shè)備。”

該Android應(yīng)用程序在Google Play商店的安裝次數(shù)超一百萬(wàn)。但是，該應(yīng)用中識(shí)別出的安全漏洞不影響未混淆及無(wú)隱藏更新功能的iOS版本。

“不為人知”的自我更新機(jī)制

GRIMM表示，這項(xiàng)研究是針對(duì)一個(gè)匿名的國(guó)防與公共安全技術(shù)供應(yīng)商的安全審核而進(jìn)行的，該審核旨在“調(diào)查Android DJI GO 4應(yīng)用程序中DJI無(wú)人機(jī)的隱私問(wèn)題”。

在對(duì)應(yīng)用程序進(jìn)行反向工程時(shí)，Synacktiv發(fā)現(xiàn)了URL(“ hxxps：//service-adhoc.dji.com/app/upgrade/public/check”)的存在，該URL用于下載應(yīng)用程序更新并提示用戶授予“ 安裝未知應(yīng)用程序 ” 權(quán)限。

研究人員說(shuō)：“我們修改了此請(qǐng)求，因?yàn)樗鼤?huì)觸發(fā)對(duì)任意應(yīng)用程序的強(qiáng)制更新。首先，提示用戶授權(quán)安裝不受信任的應(yīng)用程序，此外還會(huì)在通過(guò)阻止使用來(lái)強(qiáng)制用戶更新。”

此功能不僅直接違反了Google Play商店指南，也產(chǎn)生了很大影響。攻擊者可能會(huì)入侵更新服務(wù)器，使用惡意應(yīng)用程序更新來(lái)鎖定用戶。

更令人擔(dān)憂的是，該應(yīng)用即使在關(guān)閉后仍繼續(xù)在后臺(tái)運(yùn)行，并利用微博SDK(“ com.sina.weibo.sdk”)安裝任意下載的應(yīng)用，使得微博直播用戶自動(dòng)發(fā)布無(wú)人機(jī)視頻。GRIMM表示，沒(méi)有發(fā)現(xiàn)任何證據(jù)證明該惡意軟件已被利用。

除此之外，研究人員發(fā)現(xiàn)該應(yīng)用程序利用MobTech SDK的優(yōu)勢(shì)來(lái)懸停有關(guān)手機(jī)的元數(shù)據(jù)，包括屏幕尺寸，亮度，WLAN地址，MAC地址，BSSID，藍(lán)牙地址，IMEI和IMSI編號(hào)，運(yùn)營(yíng)商名稱，SIM序列號(hào)，SD卡信息，OS語(yǔ)言和內(nèi)核版本以及位置信息。

DJI反對(duì)調(diào)查結(jié)果

DJI 稱調(diào)查結(jié)果為“典型的軟件問(wèn)題”，對(duì)該研究提出異議，并稱“美國(guó)國(guó)土安全部(DHS)，Booz Allen Hamilton和其他人的報(bào)告，均未發(fā)現(xiàn)DJI為政府和專業(yè)客戶設(shè)計(jì)的應(yīng)用程序中存在意外數(shù)據(jù)傳輸連接的證據(jù)。

該公司表示：“沒(méi)有證據(jù)表明它們?cè)焕眠^(guò)，也沒(méi)有用于政府和專業(yè)客戶的DJI飛行控制系統(tǒng)中，且無(wú)法自行重啟。”

“在新的版本中，用戶也可以從所在國(guó)家/地區(qū)下載Google Play的正式版本。如果用戶不下載，出于安全原因，將禁用其未經(jīng)授權(quán)(被黑客入侵)的應(yīng)用程序版本”。

大疆創(chuàng)新是全球最大的商業(yè)無(wú)人機(jī)制造商，與其他中國(guó)公司就國(guó)家安全問(wèn)題受到越來(lái)越多的審查，美國(guó)內(nèi)政部于今年1月初將其DJI無(wú)人機(jī)機(jī)隊(duì)停飛。

去年五月，國(guó)土安全部曾警告許多公司，如果它們使用在中國(guó)制造的商用無(wú)人機(jī)，其數(shù)據(jù)可能會(huì)受到威脅，包含數(shù)據(jù)被破壞、在公司外的服務(wù)器上發(fā)生信息共享等風(fēng)險(xiǎn)。

“這項(xiàng)決定明確表明，美國(guó)政府對(duì)DJI無(wú)人機(jī)的關(guān)注是是因?yàn)镈OI機(jī)隊(duì)的原因(注：DOI的整個(gè)機(jī)隊(duì)都使用中國(guó)制造的零件，大疆是其零件供應(yīng)商之一)。這與安全無(wú)關(guān)，而是出于部分政治動(dòng)機(jī)，旨在減少市場(chǎng)競(jìng)爭(zhēng)并支持國(guó)產(chǎn)無(wú)人機(jī)技術(shù)。”該公司在1月份的一份聲明中表示。