研究人員上周四在大疆無人機(jī)開發(fā)的安卓 App 中發(fā)現(xiàn)了多個安全漏洞，App 的自動更新機(jī)制可以繞過谷歌應(yīng)用商店，并用來安裝惡意應(yīng)用和傳輸敏感個人信息到大疆的服務(wù)器。

創(chuàng)新互聯(lián)是一家集網(wǎng)站建設(shè),貴州企業(yè)網(wǎng)站建設(shè),貴州品牌網(wǎng)站建設(shè),網(wǎng)站定制,貴州網(wǎng)站建設(shè)報價,網(wǎng)絡(luò)營銷,網(wǎng)絡(luò)優(yōu)化,貴州網(wǎng)站推廣為一體的創(chuàng)新建站企業(yè)，幫助傳統(tǒng)企業(yè)提升企業(yè)形象加強(qiáng)企業(yè)競爭力?？沙浞譂M足這一群體相比中小企業(yè)更為豐富、高端、多元的互聯(lián)網(wǎng)需求。同時我們時刻保持專業(yè)、時尚、前沿，時刻以成就客戶成長自我，堅持不斷學(xué)習(xí)、思考、沉淀、凈化自己，讓我們?yōu)楦嗟钠髽I(yè)打造出實用型網(wǎng)站。

網(wǎng)絡(luò)安全公司 Synacktiv 和 GRIMM 的兩份報告顯示，大疆無人機(jī) Go 4 安卓應(yīng)用程序不僅要求一些額外的權(quán)限，也會收集 IMSI、IMEI、SIM 卡序列號等個人數(shù)據(jù)，其中使用了反調(diào)試和加密技術(shù)來繞過安全分析。這種機(jī)制于惡意軟件使用的 C2 服務(wù)器是非常類似的。考慮到 Go 4 安卓應(yīng)用程序請求了聯(lián)系人、麥克風(fēng)、攝像頭、位置、存儲、修改網(wǎng)絡(luò)連接的權(quán)限，大疆和微博服務(wù)器幾乎可以完全控制用戶的手機(jī)。

從谷歌應(yīng)用商店的數(shù)據(jù)來看，Go 4 的下載安裝量超過 100 萬。研究人員在 App 中發(fā)現(xiàn)的漏洞并不影響 iOS 版本。

自更新機(jī)制

研究人員逆向了 Go 4 App 后發(fā)現(xiàn)了有個 URL —— hxxps://service-adhoc.dji.com/app/upgrade/public/check，該 url 被用來下載應(yīng)用更新和提醒用戶授權(quán)安裝未知應(yīng)用的權(quán)限。

研究人員修改了 url 中的請求來出發(fā)任意應(yīng)用的更新，發(fā)現(xiàn)首先會提醒用戶允許安裝非可信的應(yīng)用，然后在更新安裝完成之前攔截用戶使用應(yīng)用。

這直接違反了谷歌應(yīng)用商店的規(guī)則，攻擊者還可以入侵更新服務(wù)器然后用惡意應(yīng)用更新來攻擊用戶。此外，App 在關(guān)閉后仍然可以在后臺運(yùn)行，并使用 Weibo SDK ( com.sina.weibo.sdk ) 來安裝任意下載的 App。GRIMM 稱并沒有發(fā)現(xiàn)任何漏洞被利用來安裝惡意應(yīng)用攻擊用戶的證據(jù)。

此外，研究人員還發(fā)現(xiàn) App 利用了 MobTech SDK 來竊取手機(jī)的元數(shù)據(jù)，包括屏幕大小、亮度、WLAN 地址、BSSID、藍(lán)牙地址、IMEI 和 IMSI 號、運(yùn)營商名稱、SIM 序列號、SD 卡信息、操作系統(tǒng)語言和 kernel 版本，以及位置信息。

大疆回應(yīng)

大疆回應(yīng)稱相關(guān)研究結(jié)果與美國國土安全局等的報告是相悖的，美國國土安全局的報告稱沒有證據(jù)表明政府和企業(yè)用的大疆 APP 存在數(shù)據(jù)傳輸連接。此外，目前也沒有證據(jù)表明漏洞被利用。在未來的版本中，用戶可以從谷歌應(yīng)用商店下載官方 App 版本，如果用戶使用的是非授權(quán)（破解）的版本，那么處于安全原因 App 將會被禁用。

去年 5 月，國土安全部發(fā)出警告稱，使用大疆無人機(jī)商業(yè)用戶的數(shù)據(jù)可能處于危險中，因為大疆無人機(jī)中包含有可以入侵其數(shù)據(jù)的組件，并且可以在服務(wù)器上分享信息。

更多技術(shù)分析參見：

https://www.synacktiv.com/en/publications/dji-android-go-4-application-security-analysis.html

https://blog.grimm-co.com/2020/07/dji-privacy-analysis-validation.html

當(dāng)前名稱：大疆無人機(jī)爆安全漏洞
文章網(wǎng)址：http://weahome.cn/article/cjjpdi.html