圖片來源: 

DJI

屢屢被美國懷疑以無人機協助中國政府間諜行動,而計畫停飛的大疆(DJI)近日又被一家安全廠商指其DJI Go 4 Android版本App多項行為很可疑,包括有強制下載程式、蒐集敏感的裝置資訊及暗中背景執行,即使不是惡意軟體,也有侵犯隱私的疑慮。

DJI Go 4是將手機連結遙控器以及操控DJI無人機的App,在Google Play Store上下載超過百萬。安全廠商Synacktive本月公佈對DJI Go 4.1及4.3版做的分析,並揭露兩項疑似漏洞的行為。他們發現DJI使用了數種類似惡意程式的反分析手法,像是反除錯(anti-debug)、混淆程式碼(obfuscation)、程式及動態加密來防止被分析。成功破解後,他們發現這款App有兩項功能會呼叫遠端伺服器並等待某個檔案下載,這個檔案會強制用戶手機安裝更新或某個新App,行為很像控制木馬程式的C&C伺服器。由於DJI Go 4已在手機上要求存取多種功能,像是聯絡人、麥克風、相機、地點、儲存裝置、變更網路連線,且會透過SDK分享到微博,這讓DJI或微博伺服器取得用戶手機的幾乎完整的控制權。另一方面,這類更新或推送Android App 的行為乃繞過Google管理機制,Google無法驗證DJI在其中送了什麼東西或做了什麼修改。如果有什麼安全風險,就會波及上百萬用戶。

研究人員也發現DJI Go 4近來版本中的MobTech元件,會蒐集包括IMSI(International Mobile Subscriber Identity,國際行動用戶辨識碼)、IMEI(International Mobile Equipment Identity number,國際行動設備辨識碼)、SIM卡序號等資訊,不但和無人機飛行不相關,也超過DJI隱私政策說明的範圍。

另外,DJI GO 4並不會在使用者關閉時向右滑時真正關閉,而是暗中重啟名為Telemetry的服務並以背景執行,並發出網路呼叫。

研究人員提醒用戶要小心DJI Go App有造成隱私資料外洩或誤用、以及不安全的C&C伺服器連線功能。但研究人員也指出,上述這些行為都只出現在Android版DJI Go 4,iOS版並沒有混淆程式碼或隱匿更新機制的行為。

不過DJI上周回應疑似功能漏洞並沒有遭到濫用的行為。該公司也解釋,強制下載App的功能,是在偵測到用戶使用的不是官方版本,或DJI App被修改以關閉高度限制或地理圍柵功能時,強制要求使用者從DJI官網下載官方版本App所致。但未來他們會修改下載路徑,要求使用者從Google Play下載App。如果用戶不允許下載,則系統會關閉修改過的舊版App。

此外,DJI說MobileTech元件的漏洞已在之前安全研究人員揭露後移除,也說並沒有發現有被開採的現象。至於微博SDK分享DJI資訊,以及何以DJI Go會在關閉後背景重啟一事,他們表示會再研究以及向微博反映SDK安全問題。

最後,DJI強調DJI Go主要用於消費機種的無人機控制,並不用於政府部門使用的機種,後者只使用非商業用的DJI Pilot App。


報名台灣唯一超規格資安盛會

熱門新聞


Advertisement