Google Play中的中國制造無人機應用嚇壞了安全研究人員

研究人員在兩份報告中表示，Android版本的DJI Go 4(可讓用戶控制無人機的應用程序)一直秘密收集敏感的用戶數據，并可以下載和執行開發人員選擇的代碼，直到最近，該報告才質疑DJI Go 4的安全性和可信賴性。程序，下載量超過100萬次Google Play。

該應用程序用于控制和收集來自全球最大的商業無人機制造商中國大疆制造的無人機的近實時視頻和飛行數據。Play商店顯示其下載量超過100萬，但由于Google公開數字的方式，真實數字可能高達500萬。該應用程序在52,000多名用戶中可能的五顆星中獲得了三顆半星的評分。

各種各樣的敏感用戶數據

兩周前，安全公司Synacktiv 對應用程序進行了反向工程。周四，安全公司格里姆(Grimm)發布了自己的獨立分析結果。兩者都至少發現該應用程序繞過Google的條款，直到最近，該應用程序秘密收集了一系列敏感的用戶數據，并將其發送到了位于中國大陸的服務器。最壞的情況是開發人員濫用難以識別的功能來監視用戶。

據報道，可疑行為包??括：

可以通過自我更新功能或專用安裝程序下載并安裝開發人員選擇的任何應用程序的功能，該安裝程序位于中國社交媒體平臺微博提供的軟件開發工具包中。兩種功能都可以違反Google的條款在Play外部下載代碼。

最近刪除的組件收集了大量電話數據，包括IMEI，IMSI，運營商名稱，SIM序列號，SD卡信息，OS語言，內核版本，屏幕大小和亮度，無線網絡名稱，地址和MAC以及藍牙地址。這些詳細信息和更多信息被發送到MobTech，后者是直到該應用程序的最新版本使用的軟件開發工具包的制造商。

每當用戶滑動應用程序以將其關閉時，自動重啟。重新啟動會導致該應用在后臺運行，并繼續發出網絡請求。

先進的混淆技術，使第三方分析應用程序非常耗時。

本月的報告是在美軍出于仍屬于機密的原因而禁止使用DJI無人機三年之后的。1月份，由于擔心數據可能被送回大陸，內政部將DJI和其他中國制造商的無人機停飛。

DJI官員說，研究人員發現了“假想的漏洞”，而且這兩份報告都沒有提供任何證據證明它們曾經被利用過。

他們在一份聲明中寫道：“這些報告中描述的應用程序更新功能實現了非常重要的安全目標，即緩解試圖竊取我們的地理圍欄或高度限制功能的被黑應用程序的使用。” 地理圍欄是聯邦航空管理局或其他當局禁止無人機穿越的虛擬障礙。無人機使用GPS，藍牙和其他技術來實施限制。

谷歌發言人表示，該公司正在調查報告。研究人員說，該應用程序的iOS版本不包含混淆或更新機制。

迷惑，獲取，并始終存在

研究人員說，從幾個方面來看，Android版DJI Go 4模仿了僵尸網絡和惡意軟件的行為。例如，自更新和自動安裝組件都調用開發人員指定的服務器，并等待命令下載和安裝代碼或應用程序。混淆技術與惡意軟件用來阻止研究人員發現其真正目的的技術極為相似。其他相似之處是始終處于開啟狀態，并且收集的敏感數據與所陳述的飛行無人機目的無關或不必要。

使行為更加令人關注的是使用該應用所需的權限的廣度，其中包括訪問聯系人，麥克風，攝像頭，位置，存儲以及更改網絡連接的能力。研究人員說，如此龐大的權限意味著DJI或微博的服務器都位于一個以政府資助的間諜活動而聞名的國家，幾乎可以完全控制用戶的設備。

兩個研究小組都表示，他們沒有看到應用安裝程序曾經實際使用過的證據，但是他們確實看到了自動更新機制觸發并從DJI服務器下載了新版本并進行安裝。這兩個功能的下載URL是動態生成的，這意味著它們是由遠程服務器提供的，可以隨時更改。

兩家公司的研究人員進行了實驗，展示了如何使用這兩種機制來安裝任意應用程序。雖然程序是自動交付的，但研究人員仍必須先單擊其批準才能安裝程序。

兩項研究報告都沒有說該應用程序實際上針對的是個人，并且都指出IMSI和其他數據的收集已隨著當前版本4.3.36的發布而結束。但是，這些團隊并未排除進行邪惡使用的可能性。格林研究人員寫道：

在最佳情況下，這些功能僅用于安裝用戶可能感興趣的合法應用程序版本，例如建議其他DJI或微博應用程序。在這種情況下，更常見的技術是通過從您的應用程序內鏈接到其他應用程序，從而在Google Play商店應用程序中顯示該應用程序。然后，如果用戶選擇，他們可以直接從Google Play商店安裝應用程序。類似地，自更新組件僅可用于向用戶提供應用程序的最新版本。但是，可以通過Google Play商店更輕松地完成此操作。

在最壞的情況下，這些功能可用于通過惡意更新或可用于利用用戶電話的應用程序來鎖定特定用戶。鑒于從他們的設備中檢索到的用戶信息量很大，DJI或微博將能夠輕松識別出特定的目標用戶。利用這些目標的下一步是建議一個新應用程序(通過微博SDK)或使用專門為利用其設備而構建的自定義版本來更新DJI應用程序。一旦利用了他們的設備，就可以將其用于從電話中收集其他信息，通過電話的各種傳感器跟蹤用戶，或者用作跳板來攻擊電話WiFi網絡上的其他設備。這種目標定位系統將使攻擊者可以更加隱蔽地利用其攻擊，利用所有訪問網站的設備。

大疆回應

DJI官員發表了 詳盡而有力的回應，稱報告中詳述的所有功能部件均出于合法目的或被單方面刪除且未被惡意使用。

“我們通過設計系統，使DJI客戶可以完全控制如何或是否共享其照片，視頻和飛行日志，并且支持為無人機數據安全性建立行業標準，為所有無人機用戶提供保護和信心。”聲明說。它提供了以下逐點討論：

當我們的系統檢測到DJI應用不是官方版本時(例如，如果已對其進行了修改以刪除關鍵的飛行安全功能，例如地理圍欄或高度限制)，我們會通知用戶并要求他們下載最新版的DJI應用我們網站上的應用程序。在以后的版本中，用戶也可以從所在國家/地區從Google Play下載正式版本。如果用戶不同意，出于安全原因，將禁用其未經授權(被黑客入侵)的應用程序版本。

過去，未經授權對DJI控制應用程序進行的修改引起了人們的關注，該技術旨在幫助確保始終采用我們全面的空域安全措施。

由于我們的休閑客戶經常想在社交媒體上與親朋好友分享他們的照片和視頻，因此DJI通過其本地SDK將我們的消費者應用程序與領先的社交媒體網站集成在一起。我們必須將有關這些SDK的安全性的問題直接引向它們各自的社交媒體服務。但是，請注意，僅當我們的用戶主動打開SDK時，才使用它。

沒有用戶的輸入，DJI GO 4無法自行重啟，我們正在調查為什么這些研究人員聲稱這樣做。到目前為止，我們還無法在測試中復制這種行為。

這些報告中概述的假設漏洞最好地描述為潛在的漏洞，我們已通過“ 漏洞賞金計劃”積極嘗試找出這些漏洞，安全研究人員以負責任的方式披露他們發現的安全問題，以換取最高3萬美元的付款。由于所有DJI飛行控制應用程序均設計為可在任何國家/地區使用，因此，如清單所示，由于來自世界各地的研究人員的貢獻，我們得以改進我們的軟件。

這些報告中確定的MobTech和Bugly組件先前是在早期研究人員發現潛在的安全漏洞后從DJI飛行控制應用中刪除的。再次，沒有證據表明它們曾被利用過，也沒有用于政府和專業客戶的DJI飛行控制系統中。

DJI GO4應用程序主要用于控制我們的休閑無人機產品。DJI為政府機構設計的無人機產品不會將數據傳輸到DJI，并且僅與DJI Pilot應用程序的非商業版本兼容。這些無人機的軟件僅通過脫機過程進行更新，這意味著此報告與打算用于政府敏感用途的無人機無關。一個最近的安全報告， 從博思艾倫審核這些系統并沒有發現任何證據表明，這些無人駕駛飛機收集的數據或信息被發送到DJI，中國或任何其他意外的一方。

這只是美國國家海洋與大氣管理局，美國網絡安全公司Kivu Consulting，美國內政部和美國國土安全部對 DJI產品安全性的最新獨立驗證。

DJI長期以來一直呼吁為無人機數據安全創建行業標準，我們希望這一過程將繼續為具有安全隱患的無人機用戶提供適當的保護。如果要考慮這種旨在確保安全性的功能，則應在客戶可以指定的客觀標準中加以解決。大疆致力于保護無人機用戶數據，這就是我們設計系統的原因，因此無人機用戶可以控制他們是否與我們共享任何數據。我們還致力于安全，努力提供技術解決方案以保持空域安全。

不要忘記Android應用程序混亂

這項研究和DJI的回應突顯了Google當前應用采購系統的混亂。無效的審查，較舊版本的Android中缺少權限粒度以及操作系統的開放性，可輕松在Play商店中發布惡意應用。同樣的事情也使得將合法功能誤認為是惡意功能變得容易。

裝有DJI Go 4 for Android的用戶可能希望至少在Google宣布調查結果之前將其刪除(據報道，自動重啟行為意味著暫時僅減少使用該應用程序還不夠)。最終，該應用程序的用戶發現自己與TikTok處于相似的位置，TikTok也引起了人們的懷疑，這是由于某些人認為其行為不適當，以及其歸中國ByteDance所有。

毫無疑問，許多與中國沒有聯系的Android應用程序所犯的違規行為與DJI Go 4和TikTok所造成的違規行為相似或更嚴重。想要在安全方面犯錯誤的人應該避開大多數人。