圖片來源: 

DJI

上月底安全研究人員揭露DJI消費型無人機的Android版App有多項可疑行為。本周安全人員又指其企業款無人機Pilot App也有類似行為。

DJI Go App Android版本遭安全廠商Synacktiv指出,兩項功能會呼叫遠端伺服器並等待某個檔案下載,強制用戶手機安裝更新或某個新App,行為很像控制木馬程式的C&C伺服器,可能使DJI或SDK整合的微博伺服器,取得用戶手機幾乎完整的控制權。此外它還有蒐集不必要的裝置資訊、暗中背景執行等可疑行為。DJI已經坦承有些問題,並承諾改善。

安全人員本周又針對企業版的DJI Pilot App Go進行分析。企業使用的為Pilot App。結果顯示也有安全疑慮。

研究人員指出,DJI Pilot App和DJI Go App一樣使用相同的packer來隱藏程式碼,這促使他們以相同的工具來分析Pilot App。結果他們發現,商用版App和消費版同樣有著強迫更新機制,迫使硬體從DJI官網,而非Google Play Store下載新軟體或更新。

從官網下載的Pilot App (1.8版)也包含一樣的SDK,可使微博蒐集到硬體資訊,包括IMSI、IMEI、或本地Wi-Fi網路的SSID。研究人員也發現微博SDK中的更新機制是經由HTTP非加密連線傳送,可能有中間人(man-in-the-middle)攻擊風險,讓第三方人士修改伺服器呼叫,並在微博不知情情況下觸發安裝。

DJI Pilot App和Go App不同的是,它有一個本地資料模式(local data mode),旨在中斷的對外網路連線以確保資料安全。但是啟動這項設定,某些功能將無法使用某些重要功能,像是解鎖飛行區等。但關閉本地資料模式的話,使用者又可能遭到強制更新。此外,使用者如果想解鎖以便在限飛區飛行DJI,必須要求DJI提供與無人機及帳號相連的解鎖憑證。由於憑證和帳戶相關,可能讓關鍵使用者遭到駭客鎖定。

研究人員建議Pilot App用戶應只使用最新版本,而且最好只從Google Play Store下載。

不過DJI反駁Synacktiv的說法。DJI指出,在上次研究發表後,該公司已經移除了微博SDK及強制從官網更新的作法,現在Pilot App只會將用戶導向Google Play Store下載更新。

至於本地資料模式的問題,DJI解釋它本來就是無人機飛安的一項設計,封鎖無人機解鎖而飛在某些具地理圍柵限制的區域,不僅是資料安全功能。針對政府客戶,DJI提供資格實體方案(Qualified Entities Program)以解鎖整個特定區域,無需透過這項功能。DJI也指出政府版無人機完全沒有地理圍柵設計。

近來中國血統的廠商紛紛被以放大鏡檢視。為了和中國撇清關係,Tiktok目前正和微軟洽談出售事宜。而Zoom上周也宣布不再直接銷售服務給中國客戶,改由合作夥伴提供。


熱門新聞

Advertisement