研究人員在兩份報(bào)告中表示，Android版本的DJI Go 4(可讓用戶控制無人機(jī)的應(yīng)用程序)一直秘密收集敏感的用戶數(shù)據(jù)，并可以下載和執(zhí)行開發(fā)人員選擇的代碼，直到最近，該報(bào)告才質(zhì)疑DJI Go 4的安全性和可信賴性。程序，下載量超過100萬次Google Play。

該應(yīng)用程序用于控制和收集來自全球最大的商業(yè)無人機(jī)制造商中國大疆制造的無人機(jī)的近實(shí)時視頻和飛行數(shù)據(jù)。Play商店顯示其下載量超過100萬，但由于Google公開數(shù)字的方式，真實(shí)數(shù)字可能高達(dá)500萬。該應(yīng)用程序在52,000多名用戶中可能的五顆星中獲得了三顆半星的評分。

各種各樣的敏感用戶數(shù)據(jù)

兩周前，安全公司Synacktiv 對應(yīng)用程序進(jìn)行了反向工程。周四，安全公司格里姆(Grimm)發(fā)布了自己的獨(dú)立分析結(jié)果。兩者都至少發(fā)現(xiàn)該應(yīng)用程序繞過Google的條款，直到最近，該應(yīng)用程序秘密收集了一系列敏感的用戶數(shù)據(jù)，并將其發(fā)送到了位于中國大陸的服務(wù)器。最壞的情況是開發(fā)人員濫用難以識別的功能來監(jiān)視用戶。

據(jù)報(bào)道，可疑行為包??括：

可以通過自我更新功能或?qū)Ｓ冒惭b程序下載并安裝開發(fā)人員選擇的任何應(yīng)用程序的功能，該安裝程序位于中國社交媒體平臺微博提供的軟件開發(fā)工具包中。兩種功能都可以違反Google的條款在Play外部下載代碼。

最近刪除的組件收集了大量電話數(shù)據(jù)，包括IMEI，IMSI，運(yùn)營商名稱，SIM序列號，SD卡信息，OS語言，內(nèi)核版本，屏幕大小和亮度，無線網(wǎng)絡(luò)名稱，地址和MAC以及藍(lán)牙地址。這些詳細(xì)信息和更多信息被發(fā)送到MobTech，后者是直到該應(yīng)用程序的最新版本使用的軟件開發(fā)工具包的制造商。

每當(dāng)用戶滑動應(yīng)用程序以將其關(guān)閉時，自動重啟。重新啟動會導(dǎo)致該應(yīng)用在后臺運(yùn)行，并繼續(xù)發(fā)出網(wǎng)絡(luò)請求。

先進(jìn)的混淆技術(shù)，使第三方分析應(yīng)用程序非常耗時。

本月的報(bào)告是在美軍出于仍屬于機(jī)密的原因而禁止使用DJI無人機(jī)三年之后的。1月份，由于擔(dān)心數(shù)據(jù)可能被送回大陸，內(nèi)政部將DJI和其他中國制造商的無人機(jī)停飛。

DJI官員說，研究人員發(fā)現(xiàn)了“假想的漏洞”，而且這兩份報(bào)告都沒有提供任何證據(jù)證明它們曾經(jīng)被利用過。

他們在一份聲明中寫道：“這些報(bào)告中描述的應(yīng)用程序更新功能實(shí)現(xiàn)了非常重要的安全目標(biāo)，即緩解試圖竊取我們的地理圍欄或高度限制功能的被黑應(yīng)用程序的使用。” 地理圍欄是聯(lián)邦航空管理局或其他當(dāng)局禁止無人機(jī)穿越的虛擬障礙。無人機(jī)使用GPS，藍(lán)牙和其他技術(shù)來實(shí)施限制。

谷歌發(fā)言人表示，該公司正在調(diào)查報(bào)告。研究人員說，該應(yīng)用程序的iOS版本不包含混淆或更新機(jī)制。

迷惑，獲取，并始終存在

研究人員說，從幾個方面來看，Android版DJI Go 4模仿了僵尸網(wǎng)絡(luò)和惡意軟件的行為。例如，自更新和自動安裝組件都調(diào)用開發(fā)人員指定的服務(wù)器，并等待命令下載和安裝代碼或應(yīng)用程序?；煜夹g(shù)與惡意軟件用來阻止研究人員發(fā)現(xiàn)其真正目的的技術(shù)極為相似。其他相似之處是始終處于開啟狀態(tài)，并且收集的敏感數(shù)據(jù)與所陳述的飛行無人機(jī)目的無關(guān)或不必要。

使行為更加令人關(guān)注的是使用該應(yīng)用所需的權(quán)限的廣度，其中包括訪問聯(lián)系人，麥克風(fēng)，攝像頭，位置，存儲以及更改網(wǎng)絡(luò)連接的能力。研究人員說，如此龐大的權(quán)限意味著DJI或微博的服務(wù)器都位于一個以政府資助的間諜活動而聞名的國家，幾乎可以完全控制用戶的設(shè)備。

兩個研究小組都表示，他們沒有看到應(yīng)用安裝程序曾經(jīng)實(shí)際使用過的證據(jù)，但是他們確實(shí)看到了自動更新機(jī)制觸發(fā)并從DJI服務(wù)器下載了新版本并進(jìn)行安裝。這兩個功能的下載URL是動態(tài)生成的，這意味著它們是由遠(yuǎn)程服務(wù)器提供的，可以隨時更改。

兩家公司的研究人員進(jìn)行了實(shí)驗(yàn)，展示了如何使用這兩種機(jī)制來安裝任意應(yīng)用程序。雖然程序是自動交付的，但研究人員仍必須先單擊其批準(zhǔn)才能安裝程序。

兩項(xiàng)研究報(bào)告都沒有說該應(yīng)用程序?qū)嶋H上針對的是個人，并且都指出IMSI和其他數(shù)據(jù)的收集已隨著當(dāng)前版本4.3.36的發(fā)布而結(jié)束。但是，這些團(tuán)隊(duì)并未排除進(jìn)行邪惡使用的可能性。格林研究人員寫道：

在最佳情況下，這些功能僅用于安裝用戶可能感興趣的合法應(yīng)用程序版本，例如建議其他DJI或微博應(yīng)用程序。在這種情況下，更常見的技術(shù)是通過從您的應(yīng)用程序內(nèi)鏈接到其他應(yīng)用程序，從而在Google Play商店應(yīng)用程序中顯示該應(yīng)用程序。然后，如果用戶選擇，他們可以直接從Google Play商店安裝應(yīng)用程序。類似地，自更新組件僅可用于向用戶提供應(yīng)用程序的最新版本。但是，可以通過Google Play商店更輕松地完成此操作。

在最壞的情況下，這些功能可用于通過惡意更新或可用于利用用戶電話的應(yīng)用程序來鎖定特定用戶。鑒于從他們的設(shè)備中檢索到的用戶信息量很大，DJI或微博將能夠輕松識別出特定的目標(biāo)用戶。利用這些目標(biāo)的下一步是建議一個新應(yīng)用程序(通過微博SDK)或使用專門為利用其設(shè)備而構(gòu)建的自定義版本來更新DJI應(yīng)用程序。一旦利用了他們的設(shè)備，就可以將其用于從電話中收集其他信息，通過電話的各種傳感器跟蹤用戶，或者用作跳板來攻擊電話WiFi網(wǎng)絡(luò)上的其他設(shè)備。這種目標(biāo)定位系統(tǒng)將使攻擊者可以更加隱蔽地利用其攻擊，利用所有訪問網(wǎng)站的設(shè)備。

大疆回應(yīng)

DJI官員發(fā)表了 詳盡而有力的回應(yīng)，稱報(bào)告中詳述的所有功能部件均出于合法目的或被單方面刪除且未被惡意使用。

“我們通過設(shè)計(jì)系統(tǒng)，使DJI客戶可以完全控制如何或是否共享其照片，視頻和飛行日志，并且支持為無人機(jī)數(shù)據(jù)安全性建立行業(yè)標(biāo)準(zhǔn)，為所有無人機(jī)用戶提供保護(hù)和信心。”聲明說。它提供了以下逐點(diǎn)討論：

當(dāng)我們的系統(tǒng)檢測到DJI應(yīng)用不是官方版本時(例如，如果已對其進(jìn)行了修改以刪除關(guān)鍵的飛行安全功能，例如地理圍欄或高度限制)，我們會通知用戶并要求他們下載最新版的DJI應(yīng)用我們網(wǎng)站上的應(yīng)用程序。在以后的版本中，用戶也可以從所在國家/地區(qū)從Google Play下載正式版本。如果用戶不同意，出于安全原因，將禁用其未經(jīng)授權(quán)(被黑客入侵)的應(yīng)用程序版本。

過去，未經(jīng)授權(quán)對DJI控制應(yīng)用程序進(jìn)行的修改引起了人們的關(guān)注，該技術(shù)旨在幫助確保始終采用我們?nèi)娴目沼虬踩胧?/p>

由于我們的休閑客戶經(jīng)常想在社交媒體上與親朋好友分享他們的照片和視頻，因此DJI通過其本地SDK將我們的消費(fèi)者應(yīng)用程序與領(lǐng)先的社交媒體網(wǎng)站集成在一起。我們必須將有關(guān)這些SDK的安全性的問題直接引向它們各自的社交媒體服務(wù)。但是，請注意，僅當(dāng)我們的用戶主動打開SDK時，才使用它。

沒有用戶的輸入，DJI GO 4無法自行重啟，我們正在調(diào)查為什么這些研究人員聲稱這樣做。到目前為止，我們還無法在測試中復(fù)制這種行為。

這些報(bào)告中概述的假設(shè)漏洞最好地描述為潛在的漏洞，我們已通過“ 漏洞賞金計(jì)劃”積極嘗試找出這些漏洞，安全研究人員以負(fù)責(zé)任的方式披露他們發(fā)現(xiàn)的安全問題，以換取最高3萬美元的付款。由于所有DJI飛行控制應(yīng)用程序均設(shè)計(jì)為可在任何國家/地區(qū)使用，因此，如清單所示，由于來自世界各地的研究人員的貢獻(xiàn)，我們得以改進(jìn)我們的軟件。

這些報(bào)告中確定的MobTech和Bugly組件先前是在早期研究人員發(fā)現(xiàn)潛在的安全漏洞后從DJI飛行控制應(yīng)用中刪除的。再次，沒有證據(jù)表明它們曾被利用過，也沒有用于政府和專業(yè)客戶的DJI飛行控制系統(tǒng)中。

DJI GO4應(yīng)用程序主要用于控制我們的休閑無人機(jī)產(chǎn)品。DJI為政府機(jī)構(gòu)設(shè)計(jì)的無人機(jī)產(chǎn)品不會將數(shù)據(jù)傳輸?shù)紻JI，并且僅與DJI Pilot應(yīng)用程序的非商業(yè)版本兼容。這些無人機(jī)的軟件僅通過脫機(jī)過程進(jìn)行更新，這意味著此報(bào)告與打算用于政府敏感用途的無人機(jī)無關(guān)。一個最近的安全報(bào)告， 從博思艾倫審核這些系統(tǒng)并沒有發(fā)現(xiàn)任何證據(jù)表明，這些無人駕駛飛機(jī)收集的數(shù)據(jù)或信息被發(fā)送到DJI，中國或任何其他意外的一方。

這只是美國國家海洋與大氣管理局，美國網(wǎng)絡(luò)安全公司Kivu Consulting，美國內(nèi)政部和美國國土安全部對 DJI產(chǎn)品安全性的最新獨(dú)立驗(yàn)證。

DJI長期以來一直呼吁為無人機(jī)數(shù)據(jù)安全創(chuàng)建行業(yè)標(biāo)準(zhǔn)，我們希望這一過程將繼續(xù)為具有安全隱患的無人機(jī)用戶提供適當(dāng)?shù)谋Ｗo(hù)。如果要考慮這種旨在確保安全性的功能，則應(yīng)在客戶可以指定的客觀標(biāo)準(zhǔn)中加以解決。大疆致力于保護(hù)無人機(jī)用戶數(shù)據(jù)，這就是我們設(shè)計(jì)系統(tǒng)的原因，因此無人機(jī)用戶可以控制他們是否與我們共享任何數(shù)據(jù)。我們還致力于安全，努力提供技術(shù)解決方案以保持空域安全。

不要忘記Android應(yīng)用程序混亂

這項(xiàng)研究和DJI的回應(yīng)突顯了Google當(dāng)前應(yīng)用采購系統(tǒng)的混亂。無效的審查，較舊版本的Android中缺少權(quán)限粒度以及操作系統(tǒng)的開放性，可輕松在Play商店中發(fā)布惡意應(yīng)用。同樣的事情也使得將合法功能誤認(rèn)為是惡意功能變得容易。

裝有DJI Go 4 for Android的用戶可能希望至少在Google宣布調(diào)查結(jié)果之前將其刪除(據(jù)報(bào)道，自動重啟行為意味著暫時僅減少使用該應(yīng)用程序還不夠)。最終，該應(yīng)用程序的用戶發(fā)現(xiàn)自己與TikTok處于相似的位置，TikTok也引起了人們的懷疑，這是由于某些人認(rèn)為其行為不適當(dāng)，以及其歸中國ByteDance所有。

毫無疑問，許多與中國沒有聯(lián)系的Android應(yīng)用程序所犯的違規(guī)行為與DJI Go 4和TikTok所造成的違規(guī)行為相似或更嚴(yán)重。想要在安全方面犯錯誤的人應(yīng)該避開大多數(shù)人。