您现在的位置是:首页 >科技 > 2020-07-30 11:28:55 来源:

Google Play中的中国制造无人机应用吓坏了安全研究人员

研究人员在两份报告中表示,Android版本的DJI Go 4(可让用户控制无人机的应用程序)一直秘密收集敏感的用户数据,并可以下载和执行开发人员选择的代码,直到最近,该报告才质疑DJI Go 4的安全性和可信赖性。程序,下载量超过100万次Google Play。

该应用程序用于控制和收集来自全球最大的商业无人机制造商中国大疆制造的无人机的近实时视频和飞行数据。Play商店显示其下载量超过100万,但由于Google公开数字的方式,真实数字可能高达500万。该应用程序在52,000多名用户中可能的五颗星中获得了三颗半星的评分。

各种各样的敏感用户数据

两周前,安全公司Synacktiv 对应用程序进行了反向工程。周四,安全公司格里姆(Grimm)发布了自己的独立分析结果。两者都至少发现该应用程序绕过Google的条款,直到最近,该应用程序秘密收集了一系列敏感的用户数据,并将其发送到了位于中国大陆的服务器。最坏的情况是开发人员滥用难以识别的功能来监视用户。

据报道,可疑行为包​​括:

可以通过自我更新功能或专用安装程序下载并安装开发人员选择的任何应用程序的功能,该安装程序位于中国社交媒体平台微博提供的软件开发工具包中。两种功能都可以违反Google的条款在Play外部下载代码。

最近删除的组件收集了大量电话数据,包括IMEI,IMSI,运营商名称,SIM序列号,SD卡信息,OS语言,内核版本,屏幕大小和亮度,无线网络名称,地址和MAC以及蓝牙地址。这些详细信息和更多信息被发送到MobTech,后者是直到该应用程序的最新版本使用的软件开发工具包的制造商。

每当用户滑动应用程序以将其关闭时,自动重启。重新启动会导致该应用在后台运行,并继续发出网络请求。

先进的混淆技术,使第三方分析应用程序非常耗时。

本月的报告是在美军出于仍属于机密的原因而禁止使用DJI无人机三年之后的。1月份,由于担心数据可能被送回大陆,内政部将DJI和其他中国制造商的无人机停飞。

DJI官员说,研究人员发现了“假想的漏洞”,而且这两份报告都没有提供任何证据证明它们曾经被利用过。

他们在一份声明中写道:“这些报告中描述的应用程序更新功能实现了非常重要的安全目标,即缓解试图窃取我们的地理围栏或高度限制功能的被黑应用程序的使用。” 地理围栏是联邦航空管理局或其他当局禁止无人机穿越的虚拟障碍。无人机使用GPS,蓝牙和其他技术来实施限制。

谷歌发言人表示,该公司正在调查报告。研究人员说,该应用程序的iOS版本不包含混淆或更新机制。

迷惑,获取,并始终存在

研究人员说,从几个方面来看,Android版DJI Go 4模仿了僵尸网络和恶意软件的行为。例如,自更新和自动安装组件都调用开发人员指定的服务器,并等待命令下载和安装代码或应用程序。混淆技术与恶意软件用来阻止研究人员发现其真正目的的技术极为相似。其他相似之处是始终处于开启状态,并且收集的敏感数据与所陈述的飞行无人机目的无关或不必要。

使行为更加令人关注的是使用该应用所需的权限的广度,其中包括访问联系人,麦克风,摄像头,位置,存储以及更改网络连接的能力。研究人员说,如此庞大的权限意味着DJI或微博的服务器都位于一个以政府资助的间谍活动而闻名的国家,几乎可以完全控制用户的设备。

两个研究小组都表示,他们没有看到应用安装程序曾经实际使用过的证据,但是他们确实看到了自动更新机制触发并从DJI服务器下载了新版本并进行安装。这两个功能的下载URL是动态生成的,这意味着它们是由远程服务器提供的,可以随时更改。

两家公司的研究人员进行了实验,展示了如何使用这两种机制来安装任意应用程序。虽然程序是自动交付的,但研究人员仍必须先单击其批准才能安装程序。

两项研究报告都没有说该应用程序实际上针对的是个人,并且都指出IMSI和其他数据的收集已随着当前版本4.3.36的发布而结束。但是,这些团队并未排除进行邪恶使用的可能性。格林研究人员写道:

在最佳情况下,这些功能仅用于安装用户可能感兴趣的合法应用程序版本,例如建议其他DJI或微博应用程序。在这种情况下,更常见的技术是通过从您的应用程序内链接到其他应用程序,从而在Google Play商店应用程序中显示该应用程序。然后,如果用户选择,他们可以直接从Google Play商店安装应用程序。类似地,自更新组件仅可用于向用户提供应用程序的最新版本。但是,可以通过Google Play商店更轻松地完成此操作。

在最坏的情况下,这些功能可用于通过恶意更新或可用于利用用户电话的应用程序来锁定特定用户。鉴于从他们的设备中检索到的用户信息量很大,DJI或微博将能够轻松识别出特定的目标用户。利用这些目标的下一步是建议一个新应用程序(通过微博SDK)或使用专门为利用其设备而构建的自定义版本来更新DJI应用程序。一旦利用了他们的设备,就可以将其用于从电话中收集其他信息,通过电话的各种传感器跟踪用户,或者用作跳板来攻击电话WiFi网络上的其他设备。这种目标定位系统将使攻击者可以更加隐蔽地利用其攻击,利用所有访问网站的设备。

大疆回应

DJI官员发表了 详尽而有力的回应,称报告中详述的所有功能部件均出于合法目的或被单方面删除且未被恶意使用。

“我们通过设计系统,使DJI客户可以完全控制如何或是否共享其照片,视频和飞行日志,并且支持为无人机数据安全性建立行业标准,为所有无人机用户提供保护和信心。”声明说。它提供了以下逐点讨论:

当我们的系统检测到DJI应用不是官方版本时(例如,如果已对其进行了修改以删除关键的飞行安全功能,例如地理围栏或高度限制),我们会通知用户并要求他们下载最新版的DJI应用我们网站上的应用程序。在以后的版本中,用户也可以从所在国家/地区从Google Play下载正式版本。如果用户不同意,出于安全原因,将禁用其未经授权(被黑客入侵)的应用程序版本。

过去,未经授权对DJI控制应用程序进行的修改引起了人们的关注,该技术旨在帮助确保始终采用我们全面的空域安全措施。

由于我们的休闲客户经常想在社交媒体上与亲朋好友分享他们的照片和视频,因此DJI通过其本地SDK将我们的消费者应用程序与领先的社交媒体网站集成在一起。我们必须将有关这些SDK的安全性的问题直接引向它们各自的社交媒体服务。但是,请注意,仅当我们的用户主动打开SDK时,才使用它。

没有用户的输入,DJI GO 4无法自行重启,我们正在调查为什么这些研究人员声称这样做。到目前为止,我们还无法在测试中复制这种行为。

这些报告中概述的假设漏洞最好地描述为潜在的漏洞,我们已通过“ 漏洞赏金计划”积极尝试找出这些漏洞,安全研究人员以负责任的方式披露他们发现的安全问题,以换取最高3万美元的付款。由于所有DJI飞行控制应用程序均设计为可在任何国家/地区使用,因此,如清单所示,由于来自世界各地的研究人员的贡献,我们得以改进我们的软件。

这些报告中确定的MobTech和Bugly组件先前是在早期研究人员发现潜在的安全漏洞后从DJI飞行控制应用中删除的。再次,没有证据表明它们曾被利用过,也没有用于政府和专业客户的DJI飞行控制系统中。

DJI GO4应用程序主要用于控制我们的休闲无人机产品。DJI为政府机构设计的无人机产品不会将数据传输到DJI,并且仅与DJI Pilot应用程序的非商业版本兼容。这些无人机的软件仅通过脱机过程进行更新,这意味着此报告与打算用于政府敏感用途的无人机无关。一个最近的安全报告, 从博思艾伦审核这些系统并没有发现任何证据表明,这些无人驾驶飞机收集的数据或信息被发送到DJI,中国或任何其他意外的一方。

这只是美国国家海洋与大气管理局,美国网络安全公司Kivu Consulting,美国内政部和美国国土安全部对 DJI产品安全性的最新独立验证。

DJI长期以来一直呼吁为无人机数据安全创建行业标准,我们希望这一过程将继续为具有安全隐患的无人机用户提供适当的保护。如果要考虑这种旨在确保安全性的功能,则应在客户可以指定的客观标准中加以解决。大疆致力于保护无人机用户数据,这就是我们设计系统的原因,因此无人机用户可以控制他们是否与我们共享任何数据。我们还致力于安全,努力提供技术解决方案以保持空域安全。

不要忘记Android应用程序混乱

这项研究和DJI的回应突显了Google当前应用采购系统的混乱。无效的审查,较旧版本的Android中缺少权限粒度以及操作系统的开放性,可轻松在Play商店中发布恶意应用。同样的事情也使得将合法功能误认为是恶意功能变得容易。

装有DJI Go 4 for Android的用户可能希望至少在Google宣布调查结果之前将其删除(据报道,自动重启行为意味着暂时仅减少使用该应用程序还不够)。最终,该应用程序的用户发现自己与TikTok处于相似的位置,TikTok也引起了人们的怀疑,这是由于某些人认为其行为不适当,以及其归中国ByteDance所有。

毫无疑问,许多与中国没有联系的Android应用程序所犯的违规行为与DJI Go 4和TikTok所造成的违规行为相似或更严重。想要在安全方面犯错误的人应该避开大多数人。