【數據安全】DJI無人機App或涉用反分析手法 存取用戶資訊

科技 19:00 2020/07/29

分享:

有網絡安全廠商近日公開批評DJI,指其DJI GO 4 Android版本應用程式行為可疑,甚至可繞過Google審查,或涉及侵犯用戶私隱的疑慮。

無人機製造商大疆(DJI)早前被美國內政部發出禁令,當局基於數據安全風險考慮,棄用及停止繼續購買DJI無人機。近日有網絡安全廠商更公開批評DJI,指其DJI GO 4 Android版本應用程式行為可疑,甚至可繞過Google審查,或涉及侵犯用戶私隱的疑慮。

>>>【香港自治法】美國禁出口敏感技術 專家料嚴重拖慢香港科研發展

>>>【科技抗疫】美國無人機空投醫療物資 助減少身體接觸

據iThome報道指,法國網絡安全公司Synacktiv本月公布,對DJI應用程式DJI GO 4.1及4.3版本的分析,揭露兩項疑似漏洞的行為。該網絡安全公司發現,DJI採用類似惡意程式的反分析手法,如代碼混淆(Obfuscation)、程式及動態加密等方式,在Android系統上收集無人機活動數據。並有機會存取手機多種資料,如聯絡人、咪高峰、相機、GPS定位、變更網路連線等,或取得用戶手機的幾乎完整的控制權。

同時研究人員發現,DJI GO 4並不會在使用者關閉程式後完全關閉,而是暗中重啟名為Telemetry的服務並在背景執行,並發出網路呼叫。而且DJI能繞過Google審查,更新用戶手機內的程式,或涉嫌違反Google的服務條款。惟研究人員強調,目前iOS版本的DJI Go程式,未有發現同類問題。

DJI其後解釋,自動更新手機程式是安全措施,為了阻止用家擅自改裝,衝破無人機原廠設定的飛行高度等限制而誤墜法網。而DJI GO關閉後繼續背景運作一事,他們僅表示會再研究問題。Google則回應指,會檢視該報告。

>>>【5G網絡】三星推無人機AI系統 助遠端調校訊號發射站

責任編輯:曾曉汶

緊貼財經時事新聞分析,讚好hket Facebook 專版