DJI反驳被指控手机App存在安全漏洞

发表于:2020-7-27 08:59

字体: | 上一篇 | 下一篇 | 我要投稿

 作者:佚名    来源:航拍网

#
漏洞
分享:
  大疆创新(DJI)又陷安全漏洞风波!据《纽约时报》(New York Times)昨(23日)引述网络安全研究人员报导,指DJI的Android手机应用程序DJI GO 4不但会搜集手机内的个人资料,而且可以不经Google审查之下自动更新。
  《纽约时报》引述网络安全研究人员报导,指DJI GO 4 不但会搜集手机内的个人资料,而且可以不经Google 审查之下自动更新。
  可在不经审查下自动更新
  安全研究公司Synacktiv(法国)及GRIMM(华盛顿郊外)均发现,DJI 这个用来控制无人机的Andriod 版本手机应用程序不但可以搜集手机信息,而且还可以在不经过谷歌审查的情况下,直接在用户手机内完成更新。此举可能违反了Google 的Andriod 开发者服务条款。
  研究人员指出,用户难以察觉这些改变。而且他们发现,即使该应用程序关闭了,但实际上仍在等待远方指令。
  列4 个安全漏洞
  Synacktiv 的研究分析指出DJI GO 4 以下的4 个资安事项:
  可以绕过Google Play 商店进行自我更新
  显然允许中国社交媒体(Weibo)SDK 界面收集私人用户讯息
  较旧版本(4.3.36)允许中国分析公司MobTech 收集私人用户数据
  关闭时可以自行重启,意味着它可能在用户不知道的情况下进行传输
  Synacktiv 工程师Tiphaine Romand-Latapie :「手机可以获得到无人机所做一切的信息,但我们所说的讯息是手机本身的资料。」「我们不明白为什么DJI 需要这些数据。」但她承认,这些安全漏洞不构成容许黑客入侵的忧虑。
  Google 发言人表示,正在调查报告中的指控。Synacktiv 在DJI 的iOS 应用程序中没有发现同样的漏洞。
  于自动更新,DJI 指此举是阻止用户试图以破解DJI GO 4 App 来逃避无人机官方飞行高度及空域限制。
  DJI 逐点反驳
  针对这些指控,DJI 逐点反驳。关于自动更新,DJI 指此举是阻止用户试图以破解DJI GO 4 App 来逃避无人机官方飞行高度及空域限制。「当我们的系统检测有DJI App 并非官方版本,例如是被改装为移除了重要飞行安全功能,我们会提示用户及要求他们从官网下载最新之官方版本。”他补充说,该功能在政府和公司使用的软件中不存在。
  关于允许中国社交媒体收集App 用户的手机信息,DJI 解释,基于业余用户经常想分享相片和影片至社交网站,DJI GO 4 App 于是透过社交媒体原生的SDK 集成有关功能。DJI 强调,这些SDK 只在用户启用时才会使用。
  至于DJI GO App 被指在关闭时会自行重启,DJI 否认有关指控,表示正调查研究人员为何会有这种指控,也形容研究人员口中的漏洞可能是潜在的程序瑕疵(bug),但公司一直透过Bug Bounty Program 来找出这些bug。
  最后,就中国分析公司MobTech 收集用户数据,DJI 表示这已从DJI 飞行控制App 移除了。再次,没有证据表明它们曾被利用过,也没有用于政府和专业客户的DJI 飞行控制系统中。
  没透露委托研究之客户
  Synacktiv 和GRIMM 均没有透露委托他们进行是次研究报告的客户,但两家公司都曾为航空业公司和无人机制造商工作过,包括一些DJI 的竞争者。
  小编建议,如果无人机用户担心资安问题,可以另外预备一支没有储存任何资料的航拍专用手机,像是已不再用的iPhone 6,也关闭DJI App 内的连接社交媒体功能。

       本文内容不用于商业目的,如涉及知识产权问题,请权利人联系51Testing小编(021-64471599-8017),我们将立即处理
《2023软件测试行业现状调查报告》独家发布~

关注51Testing

联系我们

快捷面板 站点地图 联系我们 广告服务 关于我们 站长统计 发展历程

法律顾问:上海兰迪律师事务所 项棋律师
版权所有 上海博为峰软件技术股份有限公司 Copyright©51testing.com 2003-2024
投诉及意见反馈:webmaster@51testing.com; 业务联系:service@51testing.com 021-64471599-8017

沪ICP备05003035号

沪公网安备 31010102002173号