研究人員釋出的報告中顯示，Android版本的 DJI Go 4 包含幾個令人擔憂的元件，一直祕密地收集敏感的使用者資料，在最壞的情況下，該應用可能被用來監視使用者並安裝應用。

它違反了 Google Play 商店的政策，目前谷歌就此事展開調查。該程式在 Google Play 下載量已超過100萬次。

監測使用者，程式外下載程式碼違法谷歌政策

大疆是全球最大，最成功的商業無人機制造商之一。根據公開的Play商店指標，DJI Go 4 應用程式的安裝量多達500萬次。

該應用程式之所以違反了 Google Play 商店的政策，是因為它可以通過自我更新功能或中國微博社交媒體巨頭提供的專用安裝程式在使用者的裝置上安裝任何應用程式。

這兩種方式都可以從Play商店外部下載程式碼，從谷歌專用的安卓市場之外下載程式碼直接違反了Google的規定。

此外，該應用程式的先前版本包含一個元件，該元件收集了各種敏感資料並將其傳送給了總部的SDK開發人員MobTech。該功能可以訪問的一些資訊包括手機的IMEI，SIM序列號，SD卡資訊，藍芽地址等。大疆在最新版本的 DJI Go 4 應用程式中刪除了該功能。

研究人員聲稱，該應用程式在使用者不知道的情況下，還可以在關閉後自行重啟，並繼續在後臺執行發出網路請求。

根據該應用在 Google Play 中的描述，它一共適用於4款無人機，所以很可能會影響到大疆 Phantom 4、Mavic Pro、Phantom 4 Pro 和 Inspire 2 的使用者。

大疆就此事發表宣告稱，研究人員發現的漏洞是 「假設性的」，卻沒有證據證明它們曾經被利用過。

該公司發言人表示，「這些報告中描述的應用程式更新功能，對於減少被黑應用的使用非常重要。這些被黑應用試圖突破地理圍欄和高度限制功能。DJI Go 4在沒有使用者輸入的情況下，不會重啟。」

地理圍欄是美國聯邦航空局（FAA）的一項軟體功能授權，旨在防止人們將無人機飛入受限的空域。

這裡的問題是多方面的。一個主要問題是軟體公司經常沒有徹底地審查他們用來開發應用程式的SDK。然而這項研究報告和大疆的迴應也突顯了谷歌當前應用採購系統的混亂。

Android的開放性和谷歌對大多數審查程式的頻繁自動化意味著那些規避谷歌Play Store 政策的應用很容易就可以通過。

監控之手伸出國門？中中國產無人機多次被指控暗中收集美國資料

作為全球最大的商用無人機制造商，大疆和其他取得成功的中國企業一樣越來越受到美國政府的關注。

曾在2017年，美國移民及海關執法局（ICE）的一個備忘錄稱，「中國大疆創新科技公司的商業無人機和軟體很可能向中國政府提供美國關鍵基礎設施和執法活動的資料。」

大疆公司當時對這一備忘錄的說法予以否認，並一份宣告中表示，大疆不會收集和訪問使用者的圖片、視訊和飛行日誌等使用者資料，除非使用者主動上傳和分享。

就在今年年初，出於安全考慮，美內政部決定停飛該公司的整支無人機機隊，僅僅因為這些裝置至少部分是在中國製造的，間諜風險高。大疆曾表示，這一決定是出於政治原因，而非軟體漏洞。

英媒將美國這一行為描述成「華盛頓對美國使用中國技術感到擔憂的最新跡象」。

新冠肺炎疫情蔓延之際，無人機一直是「抗疫新星」，美國22個州的43個執法機構開始使用無人機對抗疫情，以確保民眾遵守社交隔離規定。但當發現這些無人機來自中國企業後，美國保守派再次汙衊其存在「間諜風險」。

大疆是中國創新的象徵，所有陰謀論的源頭是美國政府對外國技術巨頭的擔憂。幾個月來，美國政府官員一直在加大警告力度，稱中國政府可能利用科技產品的弱點，迫使企業披露美國使用者的資訊。

多年來，大疆也一直在努力減輕人們對其無人機安全問題的擔憂，這些無人機可以拍攝電影、守衛發電廠、統計野生動物數量，還可以協助軍隊和警方。

參考連結：

https://arstechnica.com/information-technology/2020/07/chinese-made-drone-app-in-google-play-spooks-security-researchers/

https://www.androidauthority.com/dji-go-4-app-security-privacy-issues-1141232/

https://cn.nytimes.com/usa/20200724/dji-drones-security-vulnerability/