7月26日消息 安全公司 Synacktiv 和 Grimm 的研究人员现在表示,大疆的无人机控制应用DJI Go 4可能并不安全。研究人员称,该应用包含几个令人担忧的组件。在最坏的情况下,该应用可能被用来监视用户并安装应用,它也违反了谷歌 Play Store的政策,据悉目前谷歌正在调查此事。 外媒 Androidheadlines 报道称,这款应用之所以违反了Play Store的政策,是因为该应用可通过某些渠道允许安装其它应用,那就是通过微博社交网络的自我更新功能或专用安装程序来安装其它应用,而从谷歌专用的安卓市场之外下载代码是违反规定的。 Synacktiv 的研究分析指出DJI GO 4 以下的4 个资安事项: 可以绕过Google Play 商店进行自我更新 显然允许中国社交媒体(Weibo)SDK 界面收集私人用户讯息 较旧版本(4.3.36)允许中国分析公司MobTech 收集私人用户数据 关闭时可以自行重启,意味着它可能在用户不知道的情况下进行传输 根据该应用在Google Play Store中的描述,它一共适用于四款无人机,所以很可能会影响到大疆Phantom 4、Mavic Pro、Phantom 4 Pro和 Inspire 2的用户。 Google 发言人表示,正在调查报告中的指控。Synacktiv 在DJI 的iOS 应用程序中没有发现同样的漏洞。 DJI 指此举是阻止用户试图以破解DJI GO 4 App 来逃避无人机官方飞行高度及空域限制。 IT之家了解到,大疆已经就此事出面发表了声明,该公司的发言人声称,研究人员发现的漏洞是 “假设性的”,它们从未被利用过。其接着表示,报道中所描述的应用更新功能,对于减少被黑应用的使用非常重要,这些被黑应用突破了地理围栏和高度限制功能。而大疆表示,该应用在没有输入的情况下,不会重启。最后,该公司在声明全文中表示,已经删除了发现漏洞的 SDK。 |