研究：DJI Android App多項功能有安全疑慮

屢屢被美國懷疑以無人機協助中國政府間諜行動，而計畫停飛的大疆（DJI）近日又被一家安全廠商指其DJI Go 4 Android版本App多項行為很可疑，包括有強制下載程式、蒐集敏感的裝置資訊及暗中背景執行，即使不是惡意軟體，也有侵犯隱私的疑慮。

DJI Go 4是將手機連結遙控器以及操控DJI無人機的App，在Google Play Store上下載超過百萬。安全廠商Synacktive本月公佈對DJI Go 4.1及4.3版做的分析，並揭露兩項疑似漏洞的行為。他們發現DJI使用了數種類似惡意程式的反分析手法，像是反除錯（anti-debug）、混淆程式碼（obfuscation）、程式及動態加密來防止被分析。成功破解後，他們發現這款App有兩項功能會呼叫遠端伺服器並等待某個檔案下載，這個檔案會強制用戶手機安裝更新或某個新App，行為很像控制木馬程式的C&C伺服器。由於DJI Go 4已在手機上要求存取多種功能，像是聯絡人、麥克風、相機、地點、儲存裝置、變更網路連線，且會透過SDK分享到微博，這讓DJI或微博伺服器取得用戶手機的幾乎完整的控制權。另一方面，這類更新或推送Android App 的行為乃繞過Google管理機制，Google無法驗證DJI在其中送了什麼東西或做了什麼修改。如果有什麼安全風險，就會波及上百萬用戶。

研究人員也發現DJI Go 4近來版本中的MobTech元件，會蒐集包括IMSI（International Mobile Subscriber Identity，國際行動用戶辨識碼）、IMEI（International Mobile Equipment Identity number，國際行動設備辨識碼）、SIM卡序號等資訊，不但和無人機飛行不相關，也超過DJI隱私政策說明的範圍。

另外，DJI GO 4並不會在使用者關閉時向右滑時真正關閉，而是暗中重啟名為Telemetry的服務並以背景執行，並發出網路呼叫。

研究人員提醒用戶要小心DJI Go App有造成隱私資料外洩或誤用、以及不安全的C&C伺服器連線功能。但研究人員也指出，上述這些行為都只出現在Android版DJI Go 4，iOS版並沒有混淆程式碼或隱匿更新機制的行為。

不過DJI上周回應疑似功能漏洞並沒有遭到濫用的行為。該公司也解釋，強制下載App的功能，是在偵測到用戶使用的不是官方版本，或DJI App被修改以關閉高度限制或地理圍柵功能時，強制要求使用者從DJI官網下載官方版本App所致。但未來他們會修改下載路徑，要求使用者從Google Play下載App。如果用戶不允許下載，則系統會關閉修改過的舊版App。

此外，DJI說MobileTech元件的漏洞已在之前安全研究人員揭露後移除，也說並沒有發現有被開採的現象。至於微博SDK分享DJI資訊，以及何以DJI Go會在關閉後背景重啟一事，他們表示會再研究以及向微博反映SDK安全問題。

最後，DJI強調DJI Go主要用於消費機種的無人機控制，並不用於政府部門使用的機種，後者只使用非商業用的DJI Pilot App。