航拍机龙头DJI,经常被指出涉嫌网络安全和数据隐私问题。近日Synacktiv就对DJI GO 4应用程序进行了深入的动态和静态分析。
Synacktiv近日公布了这份安全审计报告,DJI GO 4应用程序中主要有4个问题:DJI GO 4可以绕过Google Play Store进行更新、通过微博SDK下载和安装任意应用程序的功能,4.3.36版本以前,DJI GO 4包含Mob SDK,该SDK收集用户的个人信息并将其传输给中国分析公司MobTech、通过Android轻扫关闭手势关闭后,DJI GO 4会自行重启,它可能在用户不知情的情况下进行传输。
Synacktiv工程师Tiphaine Romand-Latapie指出,手机可以获得到无人机所做一切的消息,但报告内所说的消息是手机本身的资料,并不明白为什么DJI需要这些数据,但又指这些安全漏洞不构成容许黑客入侵的忧虑。
DJI回应表示,进行自动更新是阻止用户试图以破解DJI GO 4来逃避无人机官方飞行高度及空域限制,“当系统检测有非官方版本的DJI应用程序,例如是被改装为移除了重要飞行安全功能,DJI会提示用户及要求他们从官网下载最新的官方版本。”而允许中国社交网站收集用户的手机消息,是因为用户经常想分享照片和视频至社交网站,于是DJI GO 4通过社交网站原生的SDKs集成有关功能。至于DJI GO 4在关闭时会自行重启和收集用户数据的问题,DJI称正在调查而收集用户数据的功能已从DJI飞行控制应用程序中移除。