按 Enter 到主內容區
:::

TWCERT/CC台灣電腦網路危機處理暨協調中心|企業資安通報協處|資安情資分享|漏洞通報|資安聯盟|資安電子報

:::

資安廠商發現DJI無人機app,其系統設計可能導致用戶資訊外洩

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2020-07-29
  • 點閱次數:2771
資安廠商發現DJI無人機app,其系統設計可能導致用戶資訊外洩 TWCERT/CC

法國、美國資安廠商近日發表研究報告指出,DJI 無人機的 Android 控制 app,不僅可能導致用戶手機內的資訊外洩,更可能讓用戶的手機遭駭侵者控制。

法國資安廠商 Synacktiv 和美國資安廠商 GRIMM 日前發表研究報告,指出全球市佔最高的無人機大廠 DJI,其 Android 版本無人機控制 app DJI GO 4 的一些功能設計,可能導致用戶手機內的資訊外洩,甚至讓用戶的手機遭駭侵者控制。

這兩家廠商的資安專家發現,DJI GO 4 app 在進行軟體更新時,不會經由 Google Play Store 進行,而是逕行更新 App 程式碼;除了違反 Google Play Store 的使用規範,更可能導致 DJI 與任何第三方公司,可直接取得這支 App 執行時要求的權限,包括讀取用戶的通訊錄、存取麥克風、手機鏡頭與地理座標等資訊。

GRIMM 發表的報告也指出,這支 App 使用了「微博軟體開發套件」(Weibo software development kit),除了再次繞過 Google Play Store 的機制、讓微博取得用戶資訊外,也可能透過該 SDK 直接在用戶手機上安裝任意程式碼。

報告也指出,DJI GO 4 收集許多和無人機操作無關的用戶機敏資訊,例如手機的 IMSI、IMEI 以及 SIM 卡編號等;另外 Synaktiv 也指出,DJI GO 4 app 即使被用戶關閉,還是能在背景進行資料傳輸。

Synaktiv 和 GRIMM 的報告中對這支 App 進行了詳細的技術分析,甚至還發現這支 App 內有反制分析的功能存在;在使用相同 SDK 的其他 App 中,沒有看到這樣的設計。

DJI 被懷疑有資安風險不是第一次,三年前美國陸軍和海軍就因資安風險疑慮,全面禁用 DJI 無人機產品。

回頁首