尋夢新聞LINE@每日推播熱門推薦文章,趣聞不漏接❤️
更多全球網路安全資訊盡在E安全官網 www.easyaq.com
E安全7月30日訊,最近據外媒報導,國外研究人員一項最新研究顯示,用於操作大疆制造的無人機的Android應用程序存在隱私漏洞,該漏洞疑似可以讓攻擊者通過惡意應用程序攻擊用戶,或獲得用戶手機的完全控制權。
研究人員在兩份報告中表示,Android版本的DJI Go 4,可讓用戶控制無人機的應用程序,一直秘密收集敏感的用戶數據,並可以下載和執行開發人員選擇的代碼。直到最近,該報告開始質疑DJI Go 4的安全性和可信賴性。
據悉,該應用程序用於控制和收集來自全球最大的商業無人機制造商中國大疆制造的無人機的近實時視訊和飛行數據,目前下載量超過100萬次Google Play。但由於Google公開數字的方式,真實數字可能高達500萬。
據報導,此次DJI Go 4最新技術的可疑行為包括:
-
可以通過自我更新功能或專用安裝程序下載並安裝開發人員選擇的任何應用程序的功能,該安裝程序位於中國社交媒體平臺微博提供的軟體開發工具包中,兩種功能都違反Google在Play外部下載代碼的條款。
-
最近刪除的組件收集了大量電話數據,包括IMEI,IMSI,運營商名稱,SIM序列號,SD卡資訊,OS語言,內核版本,螢幕大小和亮度,無線網路名稱,地址和MAC以及藍牙地址。這些詳細資訊和更多資訊被發送到MobTech。
-
每當用戶滑動應用程序以將其關閉時,系統會自動重啟,重新啟動會導致該應用在後臺運行,並繼續發出網路請求。
-
先進的混淆技術,使第三方分析應用程序非常耗時。
但是對於這些指控,大疆公司負責人發表了詳盡而有力的回應,在回應報告中大疆詳述了DJI Go 4 所有功能部件均出於合法目的,且未被惡意者使用。大疆稱:「我們通過設計系統,使大疆客戶可以完全控制如何或是否共享其照片,視訊和飛行日志,並且支持為無人機數據安全性建立行業標準,為所有無人機用戶提供隱私保護。」同時,DJI的一位發言人告訴媒體,研究人員發現什麼是「假想的漏洞」,卻沒有提供證據證明它們曾經被利用過。
這項研究和DJI的回應突顯了Google當前應用採購系統的混亂和無效審查等問題,較舊版本的Android系統中缺少權限力度以及操作系統的開放性,可輕松在Play商店中發布惡意應用。同樣的事情也使得將合法功能誤認為是惡意功能變得容易。
目前,專家建議裝有DJI Go 4 for Android的用戶可能希望至少在Google宣布調查結果之前將其刪除,等待最終的調查結構。
註:本文由E安全編譯報導,轉載請註原文地址https://www.easyaq.com
推薦閱讀:
-
QSnatch惡意軟體突破八倍增長!從7000個僵屍程序增至62000多個
-
極致CMS — PHP代碼審計 SQL註入漏洞
-
美國能源部試圖10年完成「永遠無法被劫持」的量子互聯網藍圖!
-
所有iPhone設備都可能被解鎖!駭客發布新款越獄軟體「Unc0ver」
-
征集 | 2020世界資訊安全大會議題征集全面開啟!
▼點擊「閱讀原文」查看更多精彩內容
喜歡記得打賞小E哦!
預覽時標簽不可點