上月底安全研究人员披露DJI消费型无人机的Android版App有多项可疑行为。本周安全人员又指其企业款无人机Pilot App也有类似行为。
DJI Go App Android版本遭安全厂商Synacktiv指出,两项功能会调用远程服务器并等待某个文件下载,强制用户手机安装更新或某个新App,行为很像控制木马程序的C&C服务器,可能使DJI或SDK集成的微博服务器,取得用户手机几乎完整的控制权。此外它还有搜集不必要的设备信息、暗中背景执行等可疑行为。DJI已经坦承有些问题,并承诺改善。
安全人员本周又针对企业版的DJI Pilot App Go进行分析。企业使用的为Pilot App。结果显示也有安全疑虑。
研究人员指出,DJI Pilot App和DJI Go App一样使用相同的packer来隐藏程序代码,这促使他们以相同的工具来分析Pilot App。结果他们发现,商用版App和消费版同样有着强迫更新机制,迫使硬件从DJI官网,而非Google Play Store下载新软件或更新。
从官网下载的Pilot App (1.8版)也包含一样的SDK,可使微博搜集到硬件信息,包括IMSI、IMEI、或本地Wi-Fi网络的SSID。研究人员也发现微博SDK中的更新机制是经由HTTP非加密连接发送,可能有中间人(man-in-the-middle)攻击风险,让第三方人士修改服务器调用,并在微博不知情情况下触发安装。
DJI Pilot App和Go App不同的是,它有一个本地资料模式(local data mode),旨在中断的对外网络连接以确保资料安全。但是启动这项设置,某些功能将无法使用某些重要功能,像是解锁飞行区等。但关闭本地资料模式的话,用户又可能遭到强制更新。此外,用户如果想解锁以便在限飞区飞行DJI,必需要求DJI提供与无人机及账号相连的解锁凭证。由于凭证和账户相关,可能让关键用户遭到黑客锁定。
研究人员建议Pilot App用户应只使用最新版本,而且最好只从Google Play Store下载。
不过DJI反驳Synacktiv的说法。DJI指出,在上次研究发布后,该公司已经移除了微博SDK及强制从官网更新的做法,现在Pilot App只会将用户导向Google Play Store下载更新。
至于本地资料模式的问题,DJI解释它本来就是无人机飞安的一项设计,封锁无人机解锁而飞在某些具地理围栅限制的区域,不仅是资料安全功能。针对政府客户,DJI提供资格实体方案(Qualified Entities Program)以解锁整个特定区域,无需通过这项功能。DJI也指出政府版无人机完全没有地理围栅设计。
近来中国血统的厂商纷纷被以放大镜查看。为了和中国撇清关系,Tiktok目前正和微软洽谈出售事宜。而Zoom上周也宣布不再直接销售服务给中国客户,改由合作伙伴提供。