大疆无人机被指存在安全漏洞,欲加之罪还是隐私威胁?
上周四,网络安全研究人员披露了无人机制造商大疆创新(DJI)开发的Android应用程序中存在的安全问题。该应用有绕过Google Play商店的自动更新机制的功能,可自动安装恶意应用程序,也可将个人敏感信息传输至DJI的服务器。
这份由网络安全公司Synacktiv和GRIMM提供的报告发现,DJI的Go 4 Android应用程序不仅要求广泛的权限许可及收集个人数据(IMSI,IMEI,SIM卡的序列号),还采用了反调试和加密技术来阻止安全性分析。
Synacktiv表示:“这种运行原理与C&C服务器中的恶意软件非常相似。”
”因为DJI GO 4需要获取用户的多项权限,包括联系人、麦克风、摄像头、位置、存储、网络连接更改,所以DJI或微博中文服务器几乎可以完全控制用户设备。”
该Android应用程序在Google Play商店的安装次数超一百万。但是,该应用中识别出的安全漏洞不影响未混淆及无隐藏更新功能的iOS版本。
“不为人知”的自我更新机制
GRIMM表示,这项研究是针对一个匿名的国防与公共安全技术供应商的安全审核而进行的,该审核旨在“调查Android DJI GO 4应用程序中DJI无人机的隐私问题”。
在对应用程序进行反向工程时,Synacktiv发现了URL(“ hxxps://service-adhoc.dji.com/app/upgrade/public/check”)的存在,该URL用于下载应用程序更新并提示用户授予“ 安装未知应用程序 ” 权限。
研究人员说:“我们修改了此请求,因为它会触发对任意应用程序的强制更新。首先,提示用户授权安装不受信任的应用程序,此外还会在通过阻止使用来强制用户更新。”
此功能不仅直接违反了Google Play商店指南,也产生了很大影响。攻击者可能会入侵更新服务器,使用恶意应用程序更新来锁定用户。
更令人担忧的是,该应用即使在关闭后仍继续在后台运行,并利用微博SDK(“ com.sina.weibo.sdk”)安装任意下载的应用,使得微博直播用户自动发布无人机视频。GRIMM表示,没有发现任何证据证明该恶意软件已被利用。
除此之外,研究人员发现该应用程序利用MobTech SDK的优势来悬停有关手机的元数据,包括屏幕尺寸,亮度,WLAN地址,MAC地址,BSSID,蓝牙地址,IMEI和IMSI编号,运营商名称,SIM序列号,SD卡信息,OS语言和内核版本以及位置信息。
DJI反对调查结果
DJI 称调查结果为“典型的软件问题”,对该研究提出异议,并称“美国国土安全部(DHS),Booz Allen Hamilton和其他人的报告,均未发现DJI为政府和专业客户设计的应用程序中存在意外数据传输连接的证据。
该公司表示:“没有证据表明它们曾被利用过,也没有用于政府和专业客户的DJI飞行控制系统中,且无法自行重启。”
“在新的版本中,用户也可以从所在国家/地区下载Google Play的正式版本。如果用户不下载,出于安全原因,将禁用其未经授权(被黑客入侵)的应用程序版本”。
大疆创新是全球最大的商业无人机制造商,与其他中国公司就国家安全问题受到越来越多的审查,美国内政部于今年1月初将其DJI无人机机队停飞。
去年五月,国土安全部曾警告许多公司,如果它们使用在中国制造的商用无人机,其数据可能会受到威胁,包含数据被破坏、在公司外的服务器上发生信息共享等风险。
“这项决定明确表明,美国政府对DJI无人机的关注是是因为DOI机队的原因(注:DOI的整个机队都使用中国制造的零件,大疆是其零件供应商之一)。这与安全无关,而是出于部分政治动机,旨在减少市场竞争并支持国产无人机技术。”该公司在1月份的一份声明中表示。
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
Gartner 预测这么多年,究竟靠不靠谱?
多年以来,Gartner的研究数据与咨询服务被认为是客观技术思想领导的权威来源。作为全球IT市场预测与咨询的绝对龙头,Gartner每年对外输出数十份市场研究报告,报告收费甚至高达人民币数十万元一份。所以Gartner每年预测的东西到底准不准?实现率有多少? 基于多年对IT及前沿技术的关注和积累,现对Gartner 2016年-2020年的年度战略技术趋势报告和安全项目报告进行回顾与应用情况评估。 报告概述 报告回顾了2016年-2020年Gartner的年度战略技术趋势报告和安全项目报告,这是具有代表性的两份报告。报告将按年份依次回顾每年的技术预测,并根据当前的应用情况评判是否准确,同时列出该技术领域的现有代表厂商。 主要回顾报告包括: 《Gartner年度十大战略技术趋势》(2016-2020) 《Gartner年度十大安全项目》(2016-2020) 主要发现 总体来看,除了2016年在十大信息安全技术上的预测有些偏差,其他年份报告的趋势预测准确率均在90%的水平,所以Gartner被誉为全球TOP 1的咨询公司当之无愧。 而根据近5年来预测和真实情况对比,以下技术和项目值得继续...
- 下一篇
Windows 10X 延期,微软这次做系统能学乖吗?
根据 Windows Central 的报道,Windows 10X 操纵系统以及第三方 OEM 设备在今年已经无望问世。 根据原计划,去年发布的的 Windows 10X 本来应该在今年年底与消费者见面。但自从今年 5 月份第一次宣布延期之后,前几天微软宣布再次延期。 有消息表示,用于企业和教育领域的单屏 Windows 10X 要等到 2021 年春季,而对双屏支持的版本甚至可能要等到 2022 年。 Windows 10X 是什么,它的意义是什么 坐在电脑前正用着 Windows 10 的你可能对 Windows 10X 有点陌生,微软又在搞什么幺蛾子了? 这还要从去年讲起。按照惯例,去年 10 月份国庆期间微软举行了自己的秋季发布会,除了 Surface 全家桶与相关配件更新了一遍之外,还拿出了 Surface Neo 和 Surface Duo 两款新品。 ▲ Surface Neo. 图片来自:The Verge 这两款新品都是主打双屏概念,只不过 Surface Duo 采用的是 Android 系统,像是手机和平板之间的产品,而 Surface Neo 则是双屏笔记本电...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- CentOS7编译安装Gcc9.2.0,解决mysql等软件编译问题
- SpringBoot2初体验,简单认识spring boot2并且搭建基础工程
- CentOS6,CentOS7官方镜像安装Oracle11G
- CentOS7安装Docker,走上虚拟化容器引擎之路
- Docker使用Oracle官方镜像安装(12C,18C,19C)
- CentOS8,CentOS7,CentOS6编译安装Redis5.0.7
- CentOS8安装MyCat,轻松搞定数据库的读写分离、垂直分库、水平分库
- Hadoop3单机部署,实现最简伪集群
- Docker安装Oracle12C,快速搭建Oracle学习环境
- CentOS6,7,8上安装Nginx,支持https2.0的开启