大疆无人机控制应用 DJI Go 4 监视用户?谷歌已展开调查
发布于:2020-07-27
根据安全公司Synacktiv和Grimm、DJI Go 4的研究人员发布的一份报告,大疆,的一个无人机控制应用程序包含几个令人担忧的组件,并且一直在秘密收集敏感的用户数据。目前,谷歌正在调查此事。据国外媒体报道,安全公司Synacktiv和Grimm的研究人员称,“DJI Go 4在大疆无人机控制中的应用可能不安全。”
根据研究人员发布的报告,安卓版的DJI围棋4包含几个令人担忧的组件,并且一直在秘密收集敏感的用户数据。在最坏的情况下,此应用程序可能用于监视用户和安装应用程序。
这违反了谷歌游戏商店的政策,谷歌目前正在调查此事。这个程序在谷歌游戏上已经被下载了100多万次。
监控用户、在程序外下载代码违反了谷歌政策
大疆是世界上最大和最成功的商用无人机制造商之一。根据已发布的Play商店指数,DJI Go 4应用程序已安装多达500万次。
该应用违反谷歌游戏商店政策的原因是,它可以通过自更新功能或中国微博社交媒体巨头提供的特殊安装程序在用户设备上安装任何应用。
这两种方法都可以从Play Store之外下载代码,而从专门面向谷歌的安卓市场之外下载代码直接违反了谷歌的规定。
此外,该应用程序的前一版本包含一个组件,该组件收集各种敏感数据,并将其发送给总部送的软件开发人员MobTech。此功能可以访问的一些信息包括即时通讯信息、SIM卡序列号、SD卡信息、蓝牙地址等。大疆在最新版本的DJI Go 4应用程序中删除了此功能。
研究人员声称,该应用程序可以在关闭后在用户不知情的情况下重新启动,并继续在后台运行以发出网络请求。
根据Google Play中对该应用的描述,它适用于四种无人驾驶飞行器,因此可能会影响到大疆的幻影4、Mavic Pro、幻影4 Pro和启发2的用户
大疆就此事发表了一份声明,称研究人员发现的漏洞是“假设的”,但没有证据表明它们被利用了。
该公司的一位发言人说,“这些报告中描述的应用程序更新功能对于减少被黑客攻击的应用程序的使用非常重要。这些被入侵的应用程序试图突破地理围栏和高度限制功能。没有用户输入,DJIGo 4不会重新启动。地理围栏是美国,联邦航空管理局(FAA)的软件功能授权,旨在防止人们驾驶无人驾驶飞机进入受限空域。