近日据外媒报道,国外研究人员一项最新研究显示,用于操作大疆制造的无人机的Android应用程序存在隐私漏洞,该漏洞疑似可以让攻击者通过恶意应用程序攻击用户,或获得用户手机的完全控制权。

研究人员在两份报告中表示,Android版本的DJI Go 4,可让用户控制无人机的应用程序,一直秘密收集敏感的用户数据,并可以下载和执行开发人员选择的代码。直到最近,该报告开始质疑DJI Go 4的安全性和可信赖性。

据悉,该应用程序用于控制和收集来自全球最大的商业无人机制造商中国大疆制造的无人机的近实时视频和飞行数据,目前下载量超过100万次Google Play。但由于Google公开数字的方式,真实数字可能高达500万。

据报道,此次DJI Go 4最新技术的可疑行为包括:

  • 可以通过自我更新功能或专用安装程序下载并安装开发人员选择的任何应用程序的功能,该安装程序位于中国社交媒体平台微博提供的软件开发工具包中,两种功能都违反Google在Play外部下载代码的条款。
  • 最近删除的组件收集了大量电话数据,包括IMEI,IMSI,运营商名称,SIM序列号,SD卡信息,OS语言,内核版本,屏幕大小和亮度,无线网络名称,地址和MAC以及蓝牙地址。这些详细信息和更多信息被发送到MobTech。
  • 每当用户滑动应用程序以将其关闭时,系统会自动重启,重新启动会导致该应用在后台运行,并继续发出网络请求。
  • 先进的混淆技术,使第三方分析应用程序非常耗时。

但是对于这些指控,大疆公司负责人发表了详尽而有力的回应,在回应报告中大疆详述了DJI Go 4 所有功能部件均出于合法目的,且未被恶意者使用。大疆称:“我们通过设计系统,使大疆客户可以完全控制如何或是否共享其照片,视频和飞行日志,并且支持为无人机数据安全性建立行业标准,为所有无人机用户提供隐私保护。” 同时,DJI的一位发言人告诉媒体,研究人员发现什么是“假想的漏洞”,却没有提供证据证明它们曾经被利用过。

这项研究和DJI的回应突显了Google当前应用采购系统的混乱和无效审查等问题,较旧版本的Android系统中缺少权限力度以及操作系统的开放性,可轻松在Play商店中发布恶意应用。同样的事情也使得将合法功能误认为是恶意功能变得容易。

目前,专家建议装有DJI Go 4 for Android的用户可能希望至少在Google宣布调查结果之前将其删除,等待最终的调查结构。