专栏首页数据猿大疆被爆监视用户并违规收集用户数据,谷歌正展开调查!

大疆被爆监视用户并违规收集用户数据,谷歌正展开调查!

“网络安全公司Synacktiv和Grimm的研究人员表示,大疆无人机控制应用DJI Go 4可能并不安全,该应用包含几个令人担忧的组件,在最坏的情况下,该应用可能被用来监视用户并安装应用。它也违反了谷歌应用商店Play Store的政策,目前谷歌正在调查此事。大疆就此事发表了声明称,研究人员发现的漏洞是 “假设性的”,它们从未被利用过,并且目前已经删除了发现漏洞的SDK。

大数据产业创新服务媒体

——聚焦数据 · 改变商业


数据猿报道,据网络安全公司Synacktiv和GRIMM发布的报告显示,大疆无人机控制APP DJI Go 4在安卓版应用程序中不但要求调用用户的额外权限,而且还会收集IMSI、IMEI、SIM卡序列号等个人数据,其中还使用了反调试和加密技术来绕过谷歌应用商店的安全分析。据报告称,这与恶意软件使用的C2服务器非常类似。

报告还表示,DJI Go 4 APP可以绕过谷歌应用商店,直接实现自我更新功能,并且APP还可以在被用户关闭后自行重启,并继续在后台运行,包括继续发送网络请求,这都是在用户不知情的情况下进行。

关于自我更新机制,研究人员称逆向了DJI Go 4 APP后发现一个URL——hxxps://service-adhoc.dji.com/app/upgrade/public/check,该url被用来下载应用更新和提醒用户授权安装未知应用的权限。

研究人员修改了url中的请求来触发任意应用的更新,发现首先会提醒用户允许安装非可信应用,然后在更新安装完成之前拦截用户的应用。

这样的行为,算是直接违反了谷歌应用商店的规则。并且报告称攻击者还可以入侵更新服务器然后用恶意应用更新来攻击用户。

另一方面,DJI Go 4 APP还允许直接安装其他第三方应用。但是按照谷歌应用商店的规定,从谷歌应用商店以外的地方直接下载应用是违反规定的。也就是说,大疆“擅自”引来了第三方。报告中还特别指出微博这一“擅自引来的第三者”,称使用Weibo SDK ("com.sina.weibo.sdk") 可以安装任意下载的APP,并且在这个过程中,微博SDK(软件开发工具包)同步也会收集用户的私人信息并传输至微博。

有网民发现,如果安卓用户通过微博打开DJI Go 4 APP下载链接的时候,不是跳转到谷歌应用商店,而是直接被引导至大疆官网的下载界面;另外一方面,当用户想要从DJI Go 4上分享内容到微博时,还会收到“是否想要安装微博”的提醒。据悉,这些都可能是安全公司判断大疆违规操作的凭据。

此外报告还称,DJI Go 4安卓版应用程序还请求了联系人、麦克风、摄像头、位置、存储、屏幕大小、亮度、WLAN地址、BSSID、蓝牙地址、运营商名称、操作系统语言和kernel版本,以及修改网络连接的权限,所以大疆和微博服务器几乎都可以完全控制用户的手机。

对于以上指责,大疆也在官网上给出了一份申明。

第一,大疆表示这些控诉是无证据的,这也可以结合根据美媒的报道——大疆公司的一位发言人称,研究人员发现的漏洞是“假设的”。第二,申明指出,应用程序更新功能是为了实现一个非常重要的安全目标,即减少被黑客攻击的应用程序的使用。第三,如果他们检测到一个大疆应用是非官方版本,会通知用户,并要求他们从官网下载最新的官方版本的应用程序,“在未来的版本中,如果谷歌Play在他们的国家有售,用户还是可以从这里下载官方版本。”

并且大疆还回应称,相关研究结果与美国国土安全局等的报告也是相悖的,美国国土安全局的报告称没有证据表明政府和企业用的大疆APP存在数据传输连接。但是,目前也没有证据表明漏洞被利用。在未来的版本中,用户可以从谷歌应用商店下载官方APP版本,如果用户使用的是非授权(破解)的版本,那么处于安全原因APP将会被禁用。

去年5月,美国国土安全部发出警告称,使用大疆无人机商业用户的数据可能处于危险中,因为大疆无人机中包含有可以入侵其数据的组件,并且可以在服务器上分享信息。

—— / END / ——

本文分享自微信公众号 - 数据猿(datayuancn)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-07-27

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 数据猿专访 | QuestMobile副总裁段林峰:大数据如何能做到打破APP孤岛?

    <数据猿导读> 根据QuestMobile的数据显示,过去一年,中国移动端月度活跃设备数的环比增长只保持在1%左右,且在继续下滑。然而,全国每月仍有超过6万款新...

    数据猿
  • 在VUCA时代, 数据分析起家的蓝灯数据如何利用&云原生微应用"将“颠覆式革新”进行到底?

    数据猿
  • 小程序,大视界:一文解读微信小程序用户行为

    今日头条丨一点资讯丨腾讯丨搜狐丨网易丨凤凰丨阿里UC大鱼丨新浪微博丨新浪看点丨百度百家丨博客中国丨趣头条丨腾讯云·云+社区

    数据猿
  • 在Java程序中处理数据库超时与死锁

    简介   每个使用关系型数据库的程序都可能遇到数据死锁或不可用的情况,而这些情况需要在代码中编程来解决;本文主要介绍与数据库事务死锁等情况相关的重试逻辑概念,此...

    Java帮帮
  • 微信个人公众号开发--(5)获取Token并自定义菜单

    微信官方文档:https://mp.weixin.qq.com/wiki?t=resource/res_main&id=mp1421140183

    浩Coding
  • 程序命名的一些提示

    选择一个正确的名字是编程中最重要的事。一个正确的命名可以让你更容易地理解代码的程序,好的命名可以消除二义性,消除误解,并且说明真实的意图,甚至可以让你有清新的气...

    周三不加班
  • 案例:使用scan IP无法连接数据库

    环境:Oracle RAC(11.2.0.3) 现象:通过scanIP连接数据库报错ORA-12514: ORA-12514: TNS:listener do...

    Alfred Zhao
  • 图片转base64

    ProsperLee
  • 【PAT乙级】小赌怡情

    版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。 ...

    喜欢ctrl的cxk
  • 【免费线上实践】动手训练模型系列:一分钟理解卷积过程

    作为也许是深度学习领域使用得最多的特征提取的方式,卷积核是如何作用于原始输入特征的呢?输入与输出之间又有什么样的关系呢?点击下方小程序,一起查看变换细节。

    SIGAI学习与实践平台

扫码关注云+社区

领取腾讯云代金券