上周四，網絡安全研究人員披露了無人機制造商大疆創(chuàng)新(DJI)開發(fā)的Android應用程序中存在的安全問題。該應用有繞過Google Play商店的自動更新機制的功能，可自動安裝惡意應用程序，也可將個人敏感信息傳輸至DJI的服務器。

這份由網絡安全公司Synacktiv和GRIMM提供的報告發(fā)現(xiàn)，DJI的Go 4 Android應用程序不僅要求廣泛的權限許可及收集個人數據(IMSI，IMEI，SIM卡的序列號)，還采用了反調試和加密技術來阻止安全性分析。

Synacktiv表示：“這種運行原理與C&C服務器中的惡意軟件非常相似。”

”因為DJI GO 4需要獲取用戶的多項權限，包括聯(lián)系人、麥克風、攝像頭、位置、存儲、網絡連接更改，所以DJI或微博中文服務器幾乎可以完全控制用戶設備。”

該Android應用程序在Google Play商店的安裝次數超一百萬。但是，該應用中識別出的安全漏洞不影響未混淆及無隱藏更新功能的iOS版本。

“不為人知”的自我更新機制

GRIMM表示，這項研究是針對一個匿名的國防與公共安全技術供應商的安全審核而進行的，該審核旨在“調查Android DJI GO 4應用程序中DJI無人機的隱私問題”。

在對應用程序進行反向工程時，Synacktiv發(fā)現(xiàn)了URL(“ hxxps：//service-adhoc.dji.com/app/upgrade/public/check”)的存在，該URL用于下載應用程序更新并提示用戶授予“ 安裝未知應用程序 ” 權限。

研究人員說：“我們修改了此請求，因為它會觸發(fā)對任意應用程序的強制更新。首先，提示用戶授權安裝不受信任的應用程序，此外還會在通過阻止使用來強制用戶更新。”

此功能不僅直接違反了Google Play商店指南，也產生了很大影響。攻擊者可能會入侵更新服務器，使用惡意應用程序更新來鎖定用戶。

更令人擔憂的是，該應用即使在關閉后仍繼續(xù)在后臺運行，并利用微博SDK(“ com.sina.weibo.sdk”)安裝任意下載的應用，使得微博直播用戶自動發(fā)布無人機視頻。GRIMM表示，沒有發(fā)現(xiàn)任何證據證明該惡意軟件已被利用。

除此之外，研究人員發(fā)現(xiàn)該應用程序利用MobTech SDK的優(yōu)勢來懸停有關手機的元數據，包括屏幕尺寸，亮度，WLAN地址，MAC地址，BSSID，藍牙地址，IMEI和IMSI編號，運營商名稱，SIM序列號，SD卡信息，OS語言和內核版本以及位置信息。

DJI反對調查結果

DJI 稱調查結果為“典型的軟件問題”，對該研究提出異議，并稱“美國國土安全部(DHS)，Booz Allen Hamilton和其他人的報告，均未發(fā)現(xiàn)DJI為政府和專業(yè)客戶設計的應用程序中存在意外數據傳輸連接的證據。

該公司表示：“沒有證據表明它們曾被利用過，也沒有用于政府和專業(yè)客戶的DJI飛行控制系統(tǒng)中，且無法自行重啟。”

“在新的版本中，用戶也可以從所在國家/地區(qū)下載Google Play的正式版本。如果用戶不下載，出于安全原因，將禁用其未經授權(被黑客入侵)的應用程序版本”。

大疆創(chuàng)新是全球最大的商業(yè)無人機制造商，與其他中國公司就國家安全問題受到越來越多的審查，美國內政部于今年1月初將其DJI無人機機隊停飛。

去年五月，國土安全部曾警告許多公司，如果它們使用在中國制造的商用無人機，其數據可能會受到威脅，包含數據被破壞、在公司外的服務器上發(fā)生信息共享等風險。

“這項決定明確表明，美國政府對DJI無人機的關注是是因為DOI機隊的原因(注：DOI的整個機隊都使用中國制造的零件，大疆是其零件供應商之一)。這與安全無關，而是出于部分政治動機，旨在減少市場競爭并支持國產無人機技術。”該公司在1月份的一份聲明中表示。