广受欢迎的中国制造无人机被发现存在安全漏洞

周四，网络安全研究人员披露了一款控制世界上最受欢迎的消费无人机的应用程序中新发现的漏洞，这可能会加剧中美之间日益加剧的紧张局势。

在两份报告中，研究人员辩称，谷歌Android操作系统上的一款应用程序为中国大江创新公司(DJI)制造的无人机提供动力，该应用程序收集了大量个人信息，北京政府可能会利用这些信息。世界各地数十万客户使用这款应用程序驾驶他们的旋翼动力、摄像头安装的飞机。

作为世界上最大的商用无人机制造商，大疆发现自己越来越成为美国政府的靶子，其他成功的中国公司也是如此。五角大楼已经禁止使用其无人机，1月份，内政部出于安全考虑，决定继续停飞该公司的无人机机队。DJI表示，这一决定是出于政治目的，而不是软件漏洞。

几个月来，美国政府官员一直在加大警告力度，警告中国政府可能会利用科技产品的弱点，迫使中国公司交出美国用户的信息。根据美国官员的说法，中国公司必须遵守任何政府交出数据的要求。

美国国家反情报与安全中心(National Anti Intelligence And Security Center)主任威廉·R·伊万尼纳(William R.Evanina)说，“中国法律要求，每一家中国科技公司都必须向中国当局提供它们获得的信息或存储在网络上的信息。”“所有美国人都应该担心，他们存储在中国应用上的图像、生物识别、位置和其他数据必须移交给中国的国家安全机构。”

美国官员说，无人机的漏洞是华盛顿担心的那种安全漏洞。

记录这一变化的安全研究公司法国的Synacktiv和华盛顿郊外的Grimm发现，这款应用不仅可以从手机收集信息，而且DJI还可以在将更改传递给消费者之前，无需谷歌审查就可以更新它。这可能会违反谷歌的Android开发者服务条款。

研究人员说，这些变化也很难让用户查看，他们发现，即使应用程序似乎已经关闭，它也会等待来自远方的指令。

Synacktiv工程师蒂帕因·罗曼德-拉塔皮(Tiphaine Romand-Latapie)说，“这部手机可以获取无人机正在做的一切，但我们谈论的信息是电话信息。”“我们不明白大疆为什么需要这些数据。”

罗曼德-拉塔皮承认，安全漏洞并不等于后门，也不是允许黑客进入手机的漏洞。

大疆表示，其应用程序迫使用户更新，以阻止试图侵入该应用程序的业余爱好者，以绕过政府对无人机飞行地点和高度的限制。

DJI发言人布伦丹·舒尔曼(Brendan Schulman)在一份声明中表示：“我们的一款娱乐飞行控制应用的Android版本中的这一安全功能，可以阻止任何人试图使用黑客版本来超越我们的安全功能，比如高度限制和地理围栏，”DJI发言人布伦丹·舒尔曼(Brendan Schulman)在一份声明中表示。“如果检测到被黑客攻击的版本，系统会提示用户从我们的网站下载官方版本。”他补充说，政府和公司使用的软件中没有这一功能。

Synacktiv和Grimm都没有透露他们的客户，但两人都曾为航空航天公司和无人机制造商做过可能与DJI一起完成的工作。

谷歌发言人表示，公司正在调查新报告中的说法。Synacktiv没有在无人机制造商的iPhone应用程序中发现同样的漏洞。苹果的App Store在中国上市。

网络安全和基础设施安全局(CyberSecurity And Infrastructure Security Agency)局长克里斯托弗·克雷布斯(Christopher Krebs)表示：“这项研究很好地提醒人们，组织需要注意与其用于运营的各种技术相关的风险。”

对无人机的一些隐私担忧在许多应用程序中都很常见，这些应用程序收集的信息比消费者可能意识到的要多得多。但研究人员列出的其他潜在漏洞来自于试图跨越中国和其他地方截然不同的互联网环境，在中国，政府可以几乎不受惩罚地要求用户数据，而在美国等其他地方，存在更广泛的法律保护。

例如，大疆与Android应用程序的直接链接很可能是为了应对中国政策的变通，这些政策迫使公司自己发送Android应用程序更新。中国的应用程序制造商必须依靠混乱和竞争激烈的网站和应用程序商店将他们的产品送到消费者手中。在这样的限制下，更新并不容易，一些公司制作了可以在需要时直接升级的软件。

该应用程序收集的许多技术数据都符合中国政府的监控做法，这些做法要求手机和无人机与用户身份相关联。

这样的功能看起来更像是美国等地的漏洞。随着美中关系处于几十年来的最低水平，华盛顿对这些问题的看法越来越黯淡，认为如果北京能够利用技术缺陷，它最终会这样做。

大疆是中国创新的象征，也是美国长期关注的安全问题，它一直在努力缓解人们对其无人机安全的担忧，这些无人机拍摄电影，守卫发电厂，清点野生动物，并协助军方和警察。多年来，它反复回应有关补丁漏洞的报告，并与美国政府密切合作，平息其他担忧。

尽管如此，Synacktiv的安全研究人员表示，大疆代码中的问题模式及其迅速实施的修复也令人担忧，这表明该公司已经意识到了一些问题，但尚未修复。

罗曼德-拉塔皮说，“这是所有这些因素的综合作用，让我们产生了怀疑。”“如果用户不知道应用程序能够做什么，就会使应用程序变得非常危险。”

Synacktiv没有发现任何恶意上传，但只是提出了无人机应用程序可能被这样使用的可能性。

“纽约时报”(New York Times)对该软件的分析证实了这一功能。直接从大疆的服务器更新该应用程序的尝试传递了一条消息，表明“纽约时报”使用的手机“不符合更新包的资格”。

虽然联邦政府在很大程度上已经停止使用中国制造的无人机，但州和地方政府仍在继续使用它们，尽管他们可以选择使用该应用程序的专业版本，该应用程序有额外的安全措施。