手机|被指控手机App存在安全漏洞 DJI反驳：阻止破解飞行安全功能 |青年|低薪|

大疆创新（DJI）又陷安全漏洞风波！据《纽约时报》（New York Times）昨（23日）引述网络安全研究人员报导，指DJI的Android手机应用程序DJI GO 4不但会搜集手机内的个人资料，而且可以不经Google审查之下自动更新。

本文插图

《纽约时报》引述网络安全研究人员报导，指DJI GO 4 不但会搜集手机内的个人资料，而且可以不经Google 审查之下自动更新。
可在不经审查下自动更新
【手机|被指控手机App存在安全漏洞 DJI反驳：阻止破解飞行安全功能】安全研究公司Synacktiv（法国）及GRIMM（华盛顿郊外）均发现， DJI 这个用来控制无人机的Andriod 版本手机应用程序不但可以搜集手机信息，而且还可以在不经过谷歌审查的情况下，直接在用户手机内完成更新。此举可能违反了Google 的Andriod 开发者服务条款。
研究人员指出，用户难以察觉这些改变。而且他们发现，即使该应用程序关闭了，但实际上仍在等待远方指令。
列4 个安全漏洞
Synacktiv 的研究分析指出DJI GO 4 以下的4 个资安事项：

可以绕过Google Play 商店进行自我更新
显然允许中国社交媒体（Weibo）SDK 界面收集私人用户讯息
较旧版本（4.3.36）允许中国分析公司MobTech 收集私人用户数据
关闭时可以自行重启，意味着它可能在用户不知道的情况下进行传输

Synacktiv 工程师Tiphaine Romand-Latapie ：「手机可以获得到无人机所做一切的信息，但我们所说的讯息是手机本身的资料。」「我们不明白为什么DJI 需要这些数据。」但她承认，这些安全漏洞不构成容许黑客入侵的忧虑。
Google 发言人表示，正在调查报告中的指控。 Synacktiv 在DJI 的iOS 应用程序中没有发现同样的漏洞。

本文插图

于自动更新， DJI 指此举是阻止用户试图以破解DJI GO 4 App 来逃避无人机官方飞行高度及空域限制。
DJI 逐点反驳
针对这些指控， DJI 逐点反驳。关于自动更新， DJI 指此举是阻止用户试图以破解DJI GO 4 App 来逃避无人机官方飞行高度及空域限制。「当我们的系统检测有DJI App 并非官方版本，例如是被改装为移除了重要飞行安全功能，我们会提示用户及要求他们从官网下载最新之官方版本。 ”他补充说，该功能在政府和公司使用的软件中不存在。

关于允许中国社交媒体收集App 用户的手机信息， DJI 解释，基于业余用户经常想分享相片和影片至社交网站， DJI GO 4 App 于是透过社交媒体原生的SDK 集成有关功能。 DJI 强调，这些SDK 只在用户启用时才会使用。
至于DJI GO App 被指在关闭时会自行重启， DJI 否认有关指控，表示正调查研究人员为何会有这种指控，也形容研究人员口中的漏洞可能是潜在的程序瑕疵（bug），但公司一直透过Bug Bounty Program 来找出这些bug 。
最后，就中国分析公司MobTech 收集用户数据， DJI 表示这已从DJI 飞行控制App 移除了。再次，没有证据表明它们曾被利用过，也没有用于政府和专业客户的DJI 飞行控制系统中。
没透露委托研究之客户
Synacktiv 和GRIMM 均没有透露委托他们进行是次研究报告的客户，但两家公司都曾为航空业公司和无人机制造商工作过，包括一些DJI 的竞争者。
小编建议，如果无人机用户担心资安问题，可以另外预备一支没有储存任何资料的航拍专用手机，像是已不再用的iPhone 6 ，也关闭DJI App 内的连接社交媒体功能。