企業版無人機Pilot App也很可疑？DJI駁斥

上月底安全研究人員揭露DJI消費型無人機的Android版App有多項可疑行為。本周安全人員又指其企業款無人機Pilot App也有類似行為。

DJI Go App Android版本遭安全廠商Synacktiv指出，兩項功能會呼叫遠端伺服器並等待某個檔案下載，強制用戶手機安裝更新或某個新App，行為很像控制木馬程式的C&C伺服器，可能使DJI或SDK整合的微博伺服器，取得用戶手機幾乎完整的控制權。此外它還有蒐集不必要的裝置資訊、暗中背景執行等可疑行為。DJI已經坦承有些問題，並承諾改善。

安全人員本周又針對企業版的DJI Pilot App Go進行分析。企業使用的為Pilot App。結果顯示也有安全疑慮。

研究人員指出，DJI Pilot App和DJI Go App一樣使用相同的packer來隱藏程式碼，這促使他們以相同的工具來分析Pilot App。結果他們發現，商用版App和消費版同樣有著強迫更新機制，迫使硬體從DJI官網，而非Google Play Store下載新軟體或更新。

從官網下載的Pilot App (1.8版)也包含一樣的SDK，可使微博蒐集到硬體資訊，包括IMSI、IMEI、或本地Wi-Fi網路的SSID。研究人員也發現微博SDK中的更新機制是經由HTTP非加密連線傳送，可能有中間人（man-in-the-middle）攻擊風險，讓第三方人士修改伺服器呼叫，並在微博不知情情況下觸發安裝。

DJI Pilot App和Go App不同的是，它有一個本地資料模式（local data mode），旨在中斷的對外網路連線以確保資料安全。但是啟動這項設定，某些功能將無法使用某些重要功能，像是解鎖飛行區等。但關閉本地資料模式的話，使用者又可能遭到強制更新。此外，使用者如果想解鎖以便在限飛區飛行DJI，必須要求DJI提供與無人機及帳號相連的解鎖憑證。由於憑證和帳戶相關，可能讓關鍵使用者遭到駭客鎖定。

研究人員建議Pilot App用戶應只使用最新版本，而且最好只從Google Play Store下載。

不過DJI反駁Synacktiv的說法。DJI指出，在上次研究發表後，該公司已經移除了微博SDK及強制從官網更新的作法，現在Pilot App只會將用戶導向Google Play Store下載更新。

至於本地資料模式的問題，DJI解釋它本來就是無人機飛安的一項設計，封鎖無人機解鎖而飛在某些具地理圍柵限制的區域，不僅是資料安全功能。針對政府客戶，DJI提供資格實體方案（Qualified Entities Program）以解鎖整個特定區域，無需透過這項功能。DJI也指出政府版無人機完全沒有地理圍柵設計。

近來中國血統的廠商紛紛被以放大鏡檢視。為了和中國撇清關係，Tiktok目前正和微軟洽談出售事宜。而Zoom上周也宣布不再直接銷售服務給中國客戶，改由合作夥伴提供。