[[335192]] 

研究人員上周四在大疆無(wú)人機(jī)開(kāi)發(fā)的安卓App中發(fā)現(xiàn)了多個(gè)安全漏洞，App的自動(dòng)更新機(jī)制可以繞過(guò)谷歌應(yīng)用商店，并用來(lái)安裝惡意應(yīng)用和傳輸敏感個(gè)人信息到大疆的服務(wù)器。

網(wǎng)絡(luò)安全公司Synacktiv和GRIMM的兩份報(bào)告顯示，大疆無(wú)人機(jī)Go 4安卓應(yīng)用程序不僅要求一些額外的權(quán)限，也會(huì)收集IMSI、IMEI、SIM卡序列號(hào)等個(gè)人數(shù)據(jù)，其中使用了反調(diào)試和加密技術(shù)來(lái)繞過(guò)安全分析。這種機(jī)制于惡意軟件使用的C2服務(wù)器是非常類(lèi)似的?？紤]到Go 4安卓應(yīng)用程序請(qǐng)求了聯(lián)系人、麥克風(fēng)、攝像頭、位置、存儲(chǔ)、修改網(wǎng)絡(luò)連接的權(quán)限，大疆和微博服務(wù)器幾乎可以完全控制用戶的手機(jī)。

從谷歌應(yīng)用商店的數(shù)據(jù)來(lái)看，Go 4的下載安裝量超過(guò)100萬(wàn)。研究人員在App中發(fā)現(xiàn)的漏洞并不影響iOS 版本。

自更新機(jī)制

研究人員逆向了Go 4 App后發(fā)現(xiàn)了有個(gè)URL——hxxps://service-adhoc.dji.com/app/upgrade/public/check，該url被用來(lái)下載應(yīng)用更新和提醒用戶授權(quán)安裝未知應(yīng)用的權(quán)限。

研究人員修改了url中的請(qǐng)求來(lái)出發(fā)任意應(yīng)用的更新，發(fā)現(xiàn)首先會(huì)提醒用戶允許安裝非可信的應(yīng)用，然后在更新安裝完成之前攔截用戶使用應(yīng)用。

這直接違反了谷歌應(yīng)用商店的規(guī)則，攻擊者還可以入侵更新服務(wù)器然后用惡意應(yīng)用更新來(lái)攻擊用戶。此外，App在關(guān)閉后仍然可以在后臺(tái)運(yùn)行，并使用Weibo SDK ("com.sina.weibo.sdk") 來(lái)安裝任意下載的App。GRIMM稱(chēng)并沒(méi)有發(fā)現(xiàn)任何漏洞被利用來(lái)安裝惡意應(yīng)用攻擊用戶的證據(jù)。

此外，研究人員還發(fā)現(xiàn)App利用了MobTech SDK來(lái)竊取手機(jī)的元數(shù)據(jù)，包括屏幕大小、亮度、WLAN地址、BSSID、藍(lán)牙地址、IMEI和IMSI號(hào)、運(yùn)營(yíng)商名稱(chēng)、SIM序列號(hào)、SD卡信息、操作系統(tǒng)語(yǔ)言和kernel版本，以及位置信息。

大疆回應(yīng)

大疆回應(yīng)稱(chēng)相關(guān)研究結(jié)果與美國(guó)國(guó)土安全局等的報(bào)告是相悖的，美國(guó)國(guó)土安全局的報(bào)告稱(chēng)沒(méi)有證據(jù)表明政府和企業(yè)用的大疆APP存在數(shù)據(jù)傳輸連接。此外，目前也沒(méi)有證據(jù)表明漏洞被利用。在未來(lái)的版本中，用戶可以從谷歌應(yīng)用商店下載官方App版本，如果用戶使用的是非授權(quán)(破解)的版本，那么處于安全原因App將會(huì)被禁用。

去年5月，國(guó)土安全部發(fā)出警告稱(chēng)，使用大疆無(wú)人機(jī)商業(yè)用戶的數(shù)據(jù)可能處于危險(xiǎn)中，因?yàn)榇蠼疅o(wú)人機(jī)中包含有可以入侵其數(shù)據(jù)的組件，并且可以在服務(wù)器上分享信息。