研究人员称，大疆无人机应用程序隐私问题层出不穷

领先的商用无人机制造商大疆(DJI)正在反击研究人员的指控，即其Android移动应用程序存在隐私漏洞。其中之一是，该应用程序即使在关闭后仍在后台运行，并在未经用户同意的情况下收集用户的敏感数据。

在DJI Go 4应用程序中发现的隐私问题，这是用于控制DJI无人机的补充应用程序，Google Play下载量超过100万次(研究人员表示，该应用程序的iOS版本没有同样的问题)。Synacktiv的研究人员在DJI Go 4应用程序中发现了几个与隐私问题有关的问题，这些问题随后得到了Grimm的研究人员的独立证实。

Grimm的研究人员在周四的一篇帖子中表示：“DJI Go 4应用程序包含几个可疑的功能以及一些反分析技术，这些技术在使用相同SDK的其他应用程序中是找不到的。”总体而言，这些功能令人担忧，可能允许大疆或微博访问用户的私人信息，或将其作为进一步攻击的目标。

在一份关于这些漏洞的声明中，大疆强烈否认其应用程序有任何“意想不到的数据传输”。这家无人机制造商还表示，它未能在测试中复制一些报告的隐私问题，报告的其他漏洞是“典型的软件问题”。

大疆在周五发布在其网站上的一份声明中表示：“我们一直把我们应用的安全和客户的隐私放在首位。”“最近的报告与其他第三方审计并不矛盾，这些审计发现我们为政府和专业客户设计的应用程序没有意外的数据传输…。这些研究人员发现了典型的软件问题，但没有证据表明它们曾被利用过。

Synacktiv研究人员发现，Android平台上的DJI Go 4应用程序在用户右击关闭应用程序时不会关闭。取而代之的是，他们发现MapBox提供的一项名为遥测的服务会在后台重新启动应用程序，在那里它会继续运行并发出网络请求。研究人员表示，为了有效关闭应用程序，用户必须终止服务，并在Android设置中关闭应用程序。

DJI方面则辩称，到目前为止，它还无法在测试中复制这种行为：它说：“DJI Go 4在没有用户输入的情况下无法自我重启，我们正在调查这些研究人员为什么声称它这样做了。”

研究人员还声称，该应用程序包含一个“自我更新”功能，命令用户的手机在应用程序上安装强制更新或安装新软件。这种“自我更新”功能违反了Google Play应用程序官方市场的政策，但研究人员也表示，攻击者可能会危及“自我更新”服务器的安全，并诱使受害者应用恶意应用程序更新。

研究人员说：“这种机制与恶意软件遭遇的命令和控制服务器非常相似。”考虑到DJI Go 4所需的广泛权限(访问联系人、麦克风、摄像头、位置、存储、更改网络连接等)，DJI或微博中文服务器几乎完全控制了用户的手机。这种更新Android应用程序或推送新应用程序的方式完全绕过了谷歌功能模块交付或应用程序内更新。“。

他们说，这款应用程序可以通过中国社交媒体平台微博提供的软件开发包(SDK)下载和安装任意应用程序(经用户批准)。研究人员称，在这个过程中，微博SDK还会收集用户的私人信息，并将其传输到微博上。

DJI辩称，该功能是一种处理对DJI控制应用程序的未经授权修改的“技术”，旨在帮助确保一致地应用空域安全措施。该公司补充说，微博SDK收集的数据允许娱乐客户在社交媒体上与朋友和家人分享他们的照片和视频，而且只有当用户“主动打开它”时，才会使用SDK。

DJI表示：“当我们的系统检测到DJI应用程序不是官方版本时-例如，如果它已被修改为删除地理围栏或高度限制等关键飞行安全功能-我们会通知用户，并要求他们从我们的网站下载该应用程序的最新官方版本。”“在未来的版本中，用户还可以从Google Play下载官方版本，如果它在他们的国家可用的话。如果用户不同意这样做，出于安全原因，他们的未经授权(被黑客入侵)版本的应用程序将被禁用。“。

研究人员还表示，该应用程序内的两个功能收集应用程序用户的入侵信息，包括手机的IMSI和IMEI序列号，Wi-Fi接口的MAC地址，SIM卡的序列号等。这两个所谓的数据吸纳组件分别是嵌入DJI Android Go 4应用程序“最新版本”中的MobTech组件和一个名为Bugly的SDK，后者是该应用程序以前版本(具体地说是4.1.22版；最新版本是4.3.37版)中的崩溃报告模块。

研究人员说：“这些数据与无人机飞行无关，也不是必要的，而且超出了DJI的隐私政策。”

大疆方面表示，研究人员识别的MobTech和Bugly组件此前已从大疆飞行控制应用程序中删除，此前研究人员发现了这些组件中的潜在安全漏洞。

DJI说：“同样，没有证据表明它们曾被利用，它们也没有用于大疆为政府和专业客户提供的飞行控制系统。”

大疆还鼓励研究人员利用其之前于2017年启动的漏洞赏金计划，“负责任地披露对我们产品的安全担忧”。此前，这家无人机制造商在修补一个影响其论坛的跨站脚本漏洞时，面临着安全问题，该漏洞可能会让黑客劫持用户账户，并获取敏感的在线数据，从飞行图像、银行卡数据、飞行记录，甚至实时摄像头图像。