网络安全公司Synacktiv和Grimm的研究人员表示,大疆无人机控制应用DJI Go 4可能并不安全,该应用包含几个令人担忧的组件,在最坏的情况下,该应用可能被用来监视用户并安装应用。它也违反了谷歌应用商店Play Store的政策,目前谷歌正在调查此事。大疆就此事发表了声明称,研究人员发现的漏洞是 “假设性的”,它们从未被利用过,并且目前已经删除了发现漏洞的SDK。
数据猿报道,据网络安全公司Synacktiv和GRIMM发布的报告显示,大疆无人机控制APP DJI Go 4在安卓版应用程序中不但要求调用用户的额外权限,而且还会收集IMSI、IMEI、SIM卡序列号等个人数据,其中还使用了反调试和加密技术来绕过谷歌应用商店的安全分析。据报告称,这与恶意软件使用的C2服务器非常类似。
报告还表示,DJI Go 4 APP可以绕过谷歌应用商店,直接实现自我更新功能,并且APP还可以在被用户关闭后自行重启,并继续在后台运行,包括继续发送网络请求,这都是在用户不知情的情况下进行。
关于自我更新机制,研究人员称逆向了DJI Go 4 APP后发现一个URL——hxxps://service-adhoc.dji.com/app/upgrade/public/check,该url被用来下载应用更新和提醒用户授权安装未知应用的权限。
研究人员修改了url中的请求来触发任意应用的更新,发现首先会提醒用户允许安装非可信应用,然后在更新安装完成之前拦截用户的应用。
这样的行为,算是直接违反了谷歌应用商店的规则。并且报告称攻击者还可以入侵更新服务器然后用恶意应用更新来攻击用户。
另一方面,DJI Go 4 APP还允许直接安装其他第三方应用。但是按照谷歌应用商店的规定,从谷歌应用商店以外的地方直接下载应用是违反规定的。也就是说,大疆“擅自”引来了第三方。报告中还特别指出微博这一“擅自引来的第三者”,称使用Weibo SDK ("com.sina.weibo.sdk") 可以安装任意下载的APP,并且在这个过程中,微博SDK(软件开发工具包)同步也会收集用户的私人信息并传输至微博。
有网民发现,如果安卓用户通过微博打开DJI Go 4 APP下载链接的时候,不是跳转到谷歌应用商店,而是直接被引导至大疆官网的下载界面;另外一方面,当用户想要从DJI Go 4上分享内容到微博时,还会收到“是否想要安装微博”的提醒。据悉,这些都可能是安全公司判断大疆违规操作的凭据。
此外报告还称,DJI Go 4安卓版应用程序还请求了联系人、麦克风、摄像头、位置、存储、屏幕大小、亮度、WLAN地址、BSSID、蓝牙地址、运营商名称、操作系统语言和kernel版本,以及修改网络连接的权限,所以大疆和微博服务器几乎都可以完全控制用户的手机。
对于以上指责,大疆也在官网上给出了一份申明。
第一,大疆表示这些控诉是无证据的,这也可以结合根据美媒的报道——大疆公司的一位发言人称,研究人员发现的漏洞是“假设的”。第二,申明指出,应用程序更新功能是为了实现一个非常重要的安全目标,即减少被黑客攻击的应用程序的使用。第三,如果他们检测到一个大疆应用是非官方版本,会通知用户,并要求他们从官网下载最新的官方版本的应用程序,“在未来的版本中,如果谷歌Play在他们的国家有售,用户还是可以从这里下载官方版本。”
并且大疆还回应称,相关研究结果与美国国土安全局等的报告也是相悖的,美国国土安全局的报告称没有证据表明政府和企业用的大疆APP存在数据传输连接。但是,目前也没有证据表明漏洞被利用。在未来的版本中,用户可以从谷歌应用商店下载官方APP版本,如果用户使用的是非授权(破解)的版本,那么处于安全原因APP将会被禁用。
去年5月,美国国土安全部发出警告称,使用大疆无人机商业用户的数据可能处于危险中,因为大疆无人机中包含有可以入侵其数据的组件,并且可以在服务器上分享信息。
本文来自投稿,不代表本人立场,如若转载,请注明出处:http://www.souzhinan.com/kj/381948.html