大疆創新(DJI)又陷資安風波!據《紐約時報》(New York Times)昨(23 日)引述網絡安全研究人員報導,指 DJI 的 Android 手機應用程式 DJI GO 4 不但會蒐集手機內的個人資料,而且可以不經 Google 審查之下自動更新。
可在不經審查下自動更新
安全研究公司 Synacktiv(法國)及 GRIMM(華盛頓郊外)均發現,DJI 這個用來控制無人機的 Andriod 版本手機應用程式不但可以蒐集手機訊息,而且還可以在不經過谷歌審查的情況下,直接在用戶手機內完成更新。此舉可能違反了 Google 的 Andriod 開發者服務條款。
研究人員指出,用戶難以察覺這些改變。而且他們發現,即使該應用程式關閉了,但實際上仍在等待遠方指令。
列 4 個資安漏洞
Synacktiv 的研究分析指出 DJI GO 4 以下的 4 個資安事項:
- 可以繞過 Google Play 商店進行自我更新
- 顯然允許中國社交媒體(Weibo)SDK 界面收集私人用戶訊息
- 較舊版本(4.3.36)允許中國分析公司 MobTech 收集私人用戶數據
- 關閉時可以自行重啟,意味著它可能在用戶不知道的情況下進行傳輸
Synacktiv 工程師 Tiphaine Romand-Latapie :「手機可以獲得到無人機所做一切的訊息,但我們所說的訊息是手機本身的資料。」「我們不明白為什麼 DJI 需要這些數據。」但她承認,這些安全漏洞不構成容許黑客入侵的憂慮。
Google 發言人表示,正在調查報告中的指控。Synacktiv 在 DJI 的 iOS 應用程序中沒有發現同樣的漏洞。
DJI 逐點反駁
針對這些指控,DJI 逐點反駁。關於自動更新,DJI 指此舉是阻止用戶試圖以破解 DJI GO 4 App 來逃避無人機官方飛行高度及空域限制。「當我們的系統檢測有 DJI App 並非官方版本,例如是被改裝為移除了重要飛行安全功能,我們會提示用戶及要求他們從官網下載最新之官方版本。”他補充說,該功能在政府和公司使用的軟件中不存在。
關於允許中國社交媒體收集 App 用戶的手機訊息,DJI 解釋,基於業餘用家經常想分享相片和影片至社交網站,DJI GO 4 App 於是透過社交媒體原生的 SDKs 集成有關功能。DJI 強調,這些 SDK 只在用戶啟用時才會使用。
至於 DJI GO App 被指在關閉時會自行重啟,DJI 否認有關指控,表示正調查研究人員為何會有這種指控,也形容研究人員口中的漏洞可能是潛在的程式瑕疵(bugs),但公司一直透過 Bug Bounty Program 來找出這些 bugs。
最後,就中國分析公司 MobTech 收集用戶數據,DJI 表示這已從 DJI 飛行控制 App 移除了。再次,沒有證據表明它們曾被利用過,也沒有用於政府和專業客戶的 DJI 飛行控制系統中。
沒透露委託研究之客戶
Synacktiv 和 GRIMM 均沒有透露委託他們進行是次研究報告的客戶,但兩家公司都曾為航空業公司和無人機製造商工作過,包括一些 DJI 的競爭者。
小編建議,如果無人機用戶擔心資安問題,可以另外預備一支沒有儲存任何資料的航拍專用手機,像是已不再用的 iPhone 6,也關閉 DJI App 內的連接社交媒體功能。
【延伸閱讀】美內政部長正式簽令停飛中國製無人機 DJI:非常失望
【延伸閱讀】Cape 憂資安問題停止與 DJI 合作 真正終止服務在一年後… …
【延伸閱讀】DJI 懸賞 3 萬美元,召集資安專家尋找無人機軟件漏洞
資料來源:New York Times、DJI
圖片來源:Shutterstock
留言
You must be logged in to post a comment.