首頁>科技>

研究人員上週四在大疆無人機開發的安卓App中發現了多個安全漏洞,App的自動更新機制可以繞過谷歌應用商店,並用來安裝惡意應用和傳輸敏感個人資訊到大疆的伺服器。

網路安全公司Synacktiv和GRIMM的兩份報告顯示,大疆無人機Go 4安卓應用程式不僅要求一些額外的許可權,也會收集IMSI、IMEI、SIM卡序列號等個人資料,其中使用了反除錯和加密技術來繞過安全分析。這種機制於惡意軟體使用的C2伺服器是非常類似的。考慮到Go 4安卓應用程式請求了聯絡人、麥克風、攝像頭、位置、儲存、修改網路連線的許可權,大疆和微博伺服器幾乎可以完全控制使用者的手機。

從谷歌應用商店的資料來看,Go 4的下載安裝量超過100萬。研究人員在App中發現的漏洞並不影響iOS 版本。

自更新機制

研究人員逆向了Go 4 App後發現了有個URL——hxxps://service-adhoc.dji.com/app/upgrade/public/check,該url被用來下載應用更新和提醒使用者授權安裝未知應用的許可權。

研究人員修改了url中的請求來出發任意應用的更新,發現首先會提醒使用者允許安裝非可信的應用,然後在更新安裝完成之前攔截使用者使用應用。

這直接違反了谷歌應用商店的規則,攻擊者還可以入侵更新伺服器然後用惡意應用更新來攻擊使用者。此外,App在關閉後仍然可以在後臺執行,並使用Weibo SDK ("com.sina.weibo.sdk") 來安裝任意下載的App。GRIMM稱並沒有發現任何漏洞被利用來安裝惡意應用攻擊使用者的證據。

此外,研究人員還發現App利用了MobTech SDK來竊取手機的元資料,包括螢幕大小、亮度、WLAN地址、BSSID、藍芽地址、IMEI和IMSI號、運營商名稱、SIM序列號、SD卡資訊、作業系統語言和kernel版本,以及位置資訊。

大疆迴應

大疆迴應稱相關研究結果與美國國土安全域性等的報告是相悖的,美國國土安全域性的報告稱沒有證據表明政府和企業用的大疆APP存在資料傳輸連線。此外,目前也沒有證據表明漏洞被利用。在未來的版本中,使用者可以從谷歌應用商店下載官方App版本,如果使用者使用的是非授權(破解)的版本,那麼處於安全原因App將會被禁用。

去年5月,國土安全部發出警告稱,使用大疆無人機商業使用者的資料可能處於危險中,因為大疆無人機中包含有可以入侵其資料的元件,並且可以在伺服器上分享資訊。

更多技術分析參見:

https://www.synacktiv.com/en/publications/dji-android-go-4-application-security-analysis.html

https://blog.grimm-co.com/2020/07/dji-privacy-analysis-validation.html

最新評論
  • 整治雙十一購物亂象,國家再次出手!該跟這些套路說再見了
  • 平臺風向:7月27日 週一 谷歌再度加碼電商 免除商家銷售佣金