上周四,网络安全研究人员披露了无人机制造商大疆创新(DJI)开发的Android应用程序中存在的安全问题。该应用有绕过Google Play商店的自动更新机制的功能,可自动安装恶意应用程序,也可将个人敏感信息传输至DJI的服务器。
这份由网络安全公司Synacktiv和GRIMM提供的报告发现,DJI的Go 4 Android应用程序不仅要求广泛的权限许可及收集个人数据(IMSI,IMEI,SIM卡的序列号),还采用了反调试和加密技术来阻止安全性分析。
Synacktiv表示:“这种运行原理与C&C服务器中的恶意软件非常相似。”
”因为DJI GO 4需要获取用户的多项权限,包括联系人、麦克风、摄像头、位置、存储、网络连接更改,所以DJI或微博中文服务器几乎可以完全控制用户设备。”
该Android应用程序在Google Play商店的安装次数超一百万。但是,该应用中识别出的安全漏洞不影响未混淆及无隐藏更新功能的iOS版本。
“不为人知”的自我更新机制
GRIMM表示,这项研究是针对一个匿名的国防与公共安全技术供应商的安全审核而进行的,该审核旨在“调查Android DJI GO 4应用程序中DJI无人机的隐私问题”。
在对应用程序进行反向工程时,Synacktiv发现了URL(“ hxxps://service-adhoc.dji.com/app/upgrade/public/check”)的存在,该URL用于下载应用程序更新并提示用户授予“ 安装未知应用程序 ” 权限。
研究人员说:“我们修改了此请求,因为它会触发对任意应用程序的强制更新。首先,提示用户授权安装不受信任的应用程序,此外还会在通过阻止使用来强制用户更新。”
此功能不仅直接违反了Google Play商店指南,也产生了很大影响。攻击者可能会入侵更新服务器,使用恶意应用程序更新来锁定用户。
更令人担忧的是,该应用即使在关闭后仍继续在后台运行,并利用微博SDK(“ com.sina.weibo.sdk”)安装任意下载的应用,使得微博直播用户自动发布无人机视频。GRIMM表示,没有发现任何证据证明该恶意软件已被利用。
除此之外,研究人员发现该应用程序利用MobTech SDK的优势来悬停有关手机的元数据,包括屏幕尺寸,亮度,WLAN地址,MAC地址,BSSID,蓝牙地址,IMEI和IMSI编号,运营商名称,SIM序列号,SD卡信息,OS语言和内核版本以及位置信息。
DJI反对调查结果
DJI 称调查结果为“典型的软件问题”,对该研究提出异议,并称“美国国土安全部(DHS),Booz Allen Hamilton和其他人的报告,均未发现DJI为政府和专业客户设计的应用程序中存在意外数据传输连接的证据。
该公司表示:“没有证据表明它们曾被利用过,也没有用于政府和专业客户的DJI飞行控制系统中,且无法自行重启。”
“在新的版本中,用户也可以从所在国家/地区下载Google Play的正式版本。如果用户不下载,出于安全原因,将禁用其未经授权(被黑客入侵)的应用程序版本”。
大疆创新是全球最大的商业无人机制造商,与其他中国公司就国家安全问题受到越来越多的审查,美国内政部于今年1月初将其DJI无人机机队停飞。
去年五月,国土安全部曾警告许多公司,如果它们使用在中国制造的商用无人机,其数据可能会受到威胁,包含数据被破坏、在公司外的服务器上发生信息共享等风险。
“这项决定明确表明,美国政府对DJI无人机的关注是是因为DOI机队的原因(注:DOI的整个机队都使用中国制造的零件,大疆是其零件供应商之一)。这与安全无关,而是出于部分政治动机,旨在减少市场竞争并支持国产无人机技术。”该公司在1月份的一份声明中表示。