大疆(DJI)近日又被一家安全厂商指其DJI Go 4 Android版本App多项行为很可疑,包括有强制下载程序、搜集敏感的设备信息及暗中背景执行,即使不是恶意软件,也有侵犯隐私的疑虑。
DJI Go 4是将手机连接遥控器以及操控DJI无人机的App,在Google Play Store上下载超过百万。安全厂商Synacktive本月公布对DJI Go 4.1及4.3版做的分析,并披露两项疑似漏洞的行为。他们发现DJI使用了数种类似恶意程序的反分析手法,像是反调试(anti-debug)、混淆程序代码(obfuscation)、程序及动态加密来防止被分析。成功破解后,他们发现这款App有两项功能会调用远程服务器并等待某个文件下载,这个文件会强制用户手机安装更新或某个新App,行为很像控制木马程序的C&C服务器。由于DJI Go 4已在手机上要求访问多种功能,像是联系人、麦克风、相机、地点、存储设备、变更网络连接,且会通过SDK分享到微博,这让DJI或微博服务器取得用户手机的几乎完整的控制权。另一方面,这类更新或推送Android App的行为乃绕过Google管理机制,Google无法验证DJI在其中送了什么东西或做了什么修改。如果有什么安全风险,就会波及上百万用户。
研究人员也发现DJI Go 4近来版本中的MobTech组件,会搜集包括IMSI(International Mobile Subscriber Identity,国际移动用户识别码)、IMEI(International Mobile Equipment Identity number,国际移动设备识别码)、SIM卡序号等信息,不但和无人机飞行不相关,也超过DJI隐私政策说明的范围。
另外,DJI GO 4并不会在用户关闭时向右滑时真正关闭,而是暗中重启名为Telemetry的服务并以背景执行,并发出网络调用。
研究人员提醒用户要小心DJI Go App有造成隐私资料外泄或误用、以及不安全的C&C服务器连接功能。但研究人员也指出,上述这些行为都只出现在Android版DJI Go 4,iOS版并没有混淆程序代码或隐匿更新机制的行为。
不过DJI上周回应疑似功能漏洞并没有遭到滥用的行为。该公司也解释,强制下载App的功能,是在侦测到用户使用的不是官方版本,或DJI App被修改以关闭高度限制或地理围栅功能时,强制要求用户从DJI官网下载官方版本App所致。但未来他们会修改下载路径,要求用户从Google Play下载App。如果用户不允许下载,则系统会关闭修改过的旧版App。
此外,DJI说MobileTech组件的漏洞已在之前安全研究人员披露后移除,也说并没有发现有被开采的现象。至于微博SDK分享DJI信息,以及何以DJI Go会在关闭后背景重启一事,他们表示会再研究以及向微博反映SDK安全问题。
最后,DJI强调DJI Go主要用于消费机型的无人机控制,并不用于政府部门使用的机型,后者只使用非商业用的DJI Pilot App。