大疆无人机控制应用 DJI Go 4 监视用户? 谷歌已展开调查
新智元报道
新智元报道
来源:arstechnica等
编辑:雅新
【新智元导读】安全公司Synacktiv和Grimm的研究人员发布的报告称,大疆的无人机控制应用 DJI Go 4 包含几个令人担忧的组件,一直秘密地收集敏感的用户数据。目前,谷歌就此事展开调查。
外媒报道称,安全公司Synacktiv和Grimm的研究人员表示,「大疆的无人机控制应用 DJI Go 4 可能并不安全。」
研究人员发布的报告中显示,Android版本的 DJI Go 4 包含几个令人担忧的组件,一直秘密地收集敏感的用户数据,在最坏的情况下,该应用可能被用来监视用户并安装应用。
它违反了 Google Play 商店的政策,目前谷歌就此事展开调查。该程序在 Google Play 下载量已超过100万次。
监测用户,程序外下载代码违法谷歌政策
大疆是全球最大,最成功的商业无人机制造商之一。根据公开的Play商店指标,DJI Go 4 应用程序的安装量多达500万次。
该应用程序之所以违反了 Google Play 商店的政策,是因为它可以通过自我更新功能或中国微博社交媒体巨头提供的专用安装程序在用户的设备上安装任何应用程序。
这两种方式都可以从Play商店外部下载代码,从谷歌专用的安卓市场之外下载代码直接违反了Google的规定。
此外,该应用程序的先前版本包含一个组件,该组件收集了各种敏感数据并将其发送给了总部的SDK开发人员MobTech。该功能可以访问的一些信息包括手机的IMEI,SIM序列号,SD卡信息,蓝牙地址等。大疆在最新版本的 DJI Go 4 应用程序中删除了该功能。
研究人员声称,该应用程序在用户不知道的情况下,还可以在关闭后自行重启,并继续在后台运行发出网络请求。
根据该应用在 Google Play 中的描述,它一共适用于4款无人机,所以很可能会影响到大疆 Phantom 4、Mavic Pro、Phantom 4 Pro 和 Inspire 2 的用户。
大疆就此事发表声明称,研究人员发现的漏洞是 「假设性的」,却没有证据证明它们曾经被利用过。
该公司发言人表示,「这些报告中描述的应用程序更新功能,对于减少被黑应用的使用非常重要。这些被黑应用试图突破地理围栏和高度限制功能。DJI Go 4在没有用户输入的情况下,不会重启。」
地理围栏是美国联邦航空局(FAA)的一项软件功能授权,旨在防止人们将无人机飞入受限的空域。
大疆表示,目前已经删除了发现漏洞的SDK。
这里的问题是多方面的。一个主要问题是软件公司经常没有彻底地审查他们用来开发应用程序的SDK。然而这项研究报告和大疆的回应也突显了谷歌当前应用采购系统的混乱。
Android的开放性和谷歌对大多数审查程序的频繁自动化意味着那些规避谷歌Play Store 政策的应用很容易就可以通过。
监控之手伸出国门?国产无人机多次被指控暗中收集美国数据
作为全球最大的商用无人机制造商,大疆和其他取得成功的中国企业一样越来越受到美国政府的关注。
曾在2017年,美国移民及海关执法局(ICE)的一个备忘录称,「中国大疆创新科技公司的商业无人机和软件很可能向中国政府提供美国关键基础设施和执法活动的数据。」
大疆公司当时对这一备忘录的说法予以否认,并一份声明中表示,大疆不会收集和访问用户的图片、视频和飞行日志等用户数据,除非用户主动上传和分享。
就在今年年初,出于安全考虑,美内政部决定停飞该公司的整支无人机机队,仅仅因为这些设备至少部分是在中国制造的,间谍风险高。大疆曾表示,这一决定是出于政治原因,而非软件漏洞。
英媒将美国这一行为描述成「华盛顿对美国使用中国技术感到担忧的最新迹象」。
新冠肺炎疫情蔓延之际,无人机一直是「抗疫新星」,美国22个州的43个执法机构开始使用无人机对抗疫情,以确保民众遵守社交隔离规定。但当发现这些无人机来自中国企业后,美国保守派再次污蔑其存在「间谍风险」。
大疆是中国创新的象征,所有阴谋论的源头是美国政府对外国技术巨头的担忧。几个月来,美国政府官员一直在加大警告力度,称中国政府可能利用科技产品的弱点,迫使企业披露美国用户的信息。
多年来,大疆也一直在努力减轻人们对其无人机安全问题的担忧,这些无人机可以拍摄电影、守卫发电厂、统计野生动物数量,还可以协助军队和警方。
参考链接:
https://arstechnica.com/information-technology/2020/07/chinese-made-drone-app-in-google-play-spooks-security-researchers/
https://www.androidauthority.com/dji-go-4-app-security-privacy-issues-1141232/
https://cn.nytimes.com/usa/20200724/dji-drones-security-vulnerability/