大疆无人机控制应用 DJI Go 4 监视用户? 谷歌已展开调查

2020 年 7 月 27 日 新智元



  新智元报道  

来源:arstechnica

编辑:雅新

【新智元导读】安全公司Synacktiv和Grimm的研究人员发布的报告称,大疆的无人机控制应用 DJI Go 4 包含几个令人担忧的组件,一直秘密地收集敏感的用户数据。目前,谷歌就此事展开调查。

 

外媒报道称,安全公司Synacktiv和Grimm的研究人员表示,「大疆的无人机控制应用 DJI Go 4 可能并不安全。」

 

研究人员发布的报告中显示,Android版本的 DJI Go 4 包含几个令人担忧的组件,一直秘密地收集敏感的用户数据,在最坏的情况下,该应用可能被用来监视用户并安装应用。

 

它违反了 Google Play 商店的政策,目前谷歌就此事展开调查。该程序在 Google Play 下载量已超过100万次。


监测用户,程序外下载代码违法谷歌政策 


大疆是全球最大,最成功的商业无人机制造商之一。根据公开的Play商店指标,DJI Go 4 应用程序的安装量多达500万次。

       


该应用程序之所以违反了 Google Play 商店的政策,是因为它可以通过自我更新功能或中国微博社交媒体巨头提供的专用安装程序在用户的设备上安装任何应用程序


这两种方式都可以从Play商店外部下载代码,从谷歌专用的安卓市场之外下载代码直接违反了Google的规定。



此外,该应用程序的先前版本包含一个组件,该组件收集了各种敏感数据并将其发送给了总部的SDK开发人员MobTech。该功能可以访问的一些信息包括手机的IMEI,SIM序列号,SD卡信息,蓝牙地址等。大疆在最新版本的 DJI Go 4 应用程序中删除了该功能。

 

研究人员声称,该应用程序在用户不知道的情况下,还可以在关闭后自行重启,并继续在后台运行发出网络请求。

 

根据该应用在 Google Play 中的描述,它一共适用于4款无人机,所以很可能会影响到大疆 Phantom 4、Mavic Pro、Phantom 4 Pro 和 Inspire 2 的用户。



大疆就此事发表声明称,研究人员发现的漏洞是 「假设性的」,却没有证据证明它们曾经被利用过。

 

该公司发言人表示,「这些报告中描述的应用程序更新功能,对于减少被黑应用的使用非常重要。这些被黑应用试图突破地理围栏和高度限制功能。DJI Go 4在没有用户输入的情况下,不会重启。

 

地理围栏是美国联邦航空局(FAA)的一项软件功能授权,旨在防止人们将无人机飞入受限的空域。

       


大疆表示,目前已经删除了发现漏洞的SDK。

 

这里的问题是多方面的。一个主要问题是软件公司经常没有彻底地审查他们用来开发应用程序的SDK。然而这项研究报告和大疆的回应也突显了谷歌当前应用采购系统的混乱。

 

Android的开放性和谷歌对大多数审查程序的频繁自动化意味着那些规避谷歌Play Store 政策的应用很容易就可以通过。


监控之手伸出国门?国产无人机多次被指控暗中收集美国数据


作为全球最大的商用无人机制造商,大疆和其他取得成功的中国企业一样越来越受到美国政府的关注。

 

曾在2017年,美国移民及海关执法局(ICE)的一个备忘录称,「中国大疆创新科技公司的商业无人机和软件很可能向中国政府提供美国关键基础设施和执法活动的数据。」

 

大疆公司当时对这一备忘录的说法予以否认,并一份声明中表示,大疆不会收集和访问用户的图片、视频和飞行日志等用户数据,除非用户主动上传和分享。

 


就在今年年初,出于安全考虑,美内政部决定停飞该公司的整支无人机机队,仅仅因为这些设备至少部分是在中国制造的,间谍风险高。大疆曾表示,这一决定是出于政治原因,而非软件漏洞。

 

英媒将美国这一行为描述成「华盛顿对美国使用中国技术感到担忧的最新迹象」。

       


新冠肺炎疫情蔓延之际,无人机一直是「抗疫新星」,美国22个州的43个执法机构开始使用无人机对抗疫情,以确保民众遵守社交隔离规定。但当发现这些无人机来自中国企业后,美国保守派再次污蔑其存在「间谍风险」

 

大疆是中国创新的象征,所有阴谋论的源头是美国政府对外国技术巨头的担忧。几个月来,美国政府官员一直在加大警告力度,称中国政府可能利用科技产品的弱点,迫使企业披露美国用户的信息。

 

多年来,大疆也一直在努力减轻人们对其无人机安全问题的担忧,这些无人机可以拍摄电影、守卫发电厂、统计野生动物数量,还可以协助军队和警方。

 

 


参考链接:

https://arstechnica.com/information-technology/2020/07/chinese-made-drone-app-in-google-play-spooks-security-researchers/

https://www.androidauthority.com/dji-go-4-app-security-privacy-issues-1141232/

https://cn.nytimes.com/usa/20200724/dji-drones-security-vulnerability/



登录查看更多
0

相关内容

DJI 大疆创新 以“The Future of Possible(未来无所不能)”为主旨理念,致力于成为全球飞行影像系统先驱。公司发展至今,除中国大陆以外,还在香港、美国、德国、荷兰、日本、韩国设有办公室,全球员工人数超过 6000 人。DJI 从商用自主飞行控制系统起步,陆续推出飞控系统、云台、多旋翼飞行器、小型多旋翼一体机等产品系列,已被广泛用于影视、农业、地产、新闻、消防、救援、能源、遥感测绘、野生动物保护等领域,占据全球 80% 以上市场份额。

【2020新书】使用Kubernetes开发高级平台,519页pdf
专知会员服务
66+阅读 · 2020年9月19日
专知会员服务
124+阅读 · 2020年8月7日
【WWW2020-微软】理解用户行为用于文档推荐
专知会员服务
35+阅读 · 2020年4月5日
《人工智能2020:落地挑战与应对 》56页pdf
专知会员服务
195+阅读 · 2020年3月8日
人工智能视觉丨被消费者忽视的工业领域应用
乌镇智库
5+阅读 · 2019年11月22日
等保测评主机安全之centos密码长度
FreeBuf
4+阅读 · 2019年6月14日
I2P - 适用于黑客的Android应用程序
黑白之道
30+阅读 · 2019年3月6日
人工智能摧毁的不是工作岗位,而是商业模式
数据分析
5+阅读 · 2018年5月13日
Blippar发布AR导航应用,UVP定位系统
AR酱
3+阅读 · 2017年11月13日
Arxiv
7+阅读 · 2018年11月27日
Arxiv
3+阅读 · 2018年8月27日
Arxiv
8+阅读 · 2018年4月8日
Arxiv
6+阅读 · 2018年3月28日
VIP会员
Top
微信扫码咨询专知VIP会员