飞行 摄影 分享 社交
www.hangpai.org

被指控手机App存在安全漏洞 DJI反驳:阻止破解飞行安全功能

大疆创新(DJI)又陷安全漏洞风波!据《纽约时报》(New York Times)昨(23日)引述网络安全研究人员报导,指DJI的Android手机应用程序DJI GO 4不但会搜集手机内的个人资料,而且可以不经Google审查之下自动更新。

《纽约时报》引述网络安全研究人员报导,指DJI GO 4 不但会搜集手机内的个人资料,而且可以不经Google 审查之下自动更新。

可在不经审查下自动更新

安全研究公司Synacktiv(法国)及GRIMM(华盛顿郊外)均发现,DJI 这个用来控制无人机的Andriod 版本手机应用程序不但可以搜集手机信息,而且还可以在不经过谷歌审查的情况下,直接在用户手机内完成更新。此举可能违反了Google 的Andriod 开发者服务条款。

研究人员指出,用户难以察觉这些改变。而且他们发现,即使该应用程序关闭了,但实际上仍在等待远方指令。

列4 个安全漏洞

Synacktiv 的研究分析指出DJI GO 4 以下的4 个资安事项:

  • 可以绕过Google Play 商店进行自我更新
  • 显然允许中国社交媒体(Weibo)SDK 界面收集私人用户讯息
  • 较旧版本(4.3.36)允许中国分析公司MobTech 收集私人用户数据
  • 关闭时可以自行重启,意味着它可能在用户不知道的情况下进行传输

Synacktiv 工程师Tiphaine Romand-Latapie :「手机可以获得到无人机所做一切的信息,但我们所说的讯息是手机本身的资料。」「我们不明白为什么DJI 需要这些数据。」但她承认,这些安全漏洞不构成容许黑客入侵的忧虑。

Google 发言人表示,正在调查报告中的指控。Synacktiv 在DJI 的iOS 应用程序中没有发现同样的漏洞。

于自动更新,DJI 指此举是阻止用户试图以破解DJI GO 4 App 来逃避无人机官方飞行高度及空域限制。

DJI 逐点反驳

针对这些指控,DJI 逐点反驳。关于自动更新,DJI 指此举是阻止用户试图以破解DJI GO 4 App 来逃避无人机官方飞行高度及空域限制。「当我们的系统检测有DJI App 并非官方版本,例如是被改装为移除了重要飞行安全功能,我们会提示用户及要求他们从官网下载最新之官方版本。”他补充说,该功能在政府和公司使用的软件中不存在。

关于允许中国社交媒体收集App 用户的手机信息,DJI 解释,基于业余用户经常想分享相片和影片至社交网站,DJI GO 4 App 于是透过社交媒体原生的SDK 集成有关功能。DJI 强调,这些SDK 只在用户启用时才会使用。

至于DJI GO App 被指在关闭时会自行重启,DJI 否认有关指控,表示正调查研究人员为何会有这种指控,也形容研究人员口中的漏洞可能是潜在的程序瑕疵(bug),但公司一直透过Bug Bounty Program 来找出这些bug。

最后,就中国分析公司MobTech 收集用户数据,DJI 表示这已从DJI 飞行控制App 移除了。再次,没有证据表明它们曾被利用过,也没有用于政府和专业客户的DJI 飞行控制系统中。

没透露委托研究之客户

Synacktiv 和GRIMM 均没有透露委托他们进行是次研究报告的客户,但两家公司都曾为航空业公司和无人机制造商工作过,包括一些DJI 的竞争者。

小编建议,如果无人机用户担心资安问题,可以另外预备一支没有储存任何资料的航拍专用手机,像是已不再用的iPhone 6,也关闭DJI App 内的连接社交媒体功能。

 

资料来源:New York Times、DJI
图片来源:Shutterstock

译制:dronesplayer

下载航拍网APP
本内容为作者独立观点,不代表航拍网立场。如若转载,请注明出处:航拍网 » 被指控手机App存在安全漏洞 DJI反驳:阻止破解飞行安全功能


航拍网-飞行 摄影 分享 社交

航拍网APP下载成为航拍网签约成员

航拍网APP(内测版)

微信扫一扫打赏