據外媒報道,一項最新研究顯示,用於操作大疆製造的無人機的Android應用程序包含了一些功能,可以讓攻擊者用惡意應用程序攻擊用户,或獲得用户手機的完全控制權。
研究人員發現,DJI GO 4應用程序可以強制用户更新,而不需要通過Google Play商店。
法國的Synacktiv和美國的GRIMM發現,考慮到該應用程序的訪問權限——包括用户的聯繫人、麥克風、攝像頭和地理位置——它可以讓DJI或第三方几乎完全控制用户的手機。
GRIMM的研究人員表示,該應用程序還可以通過微博軟件開發工具包安裝任意應用程序,再次繞過谷歌。
GRIMM表示,通過這樣做,該應用程序與微博共享用户的個人信息,並可能允許攻擊者以惡意應用程序安裝的個人為目標。
Synacktiv表示,即使用户關閉了應用程序,該應用程序也會繼續在後台運行,併發出網絡請求。
被提及的APP是大疆官方推出的DJI Go 4,可配合大疆無人機實現實時圖傳查看、相機參數設置,以及航拍視頻和圖片的編輯、分享等功能。
大疆公司在一份聲明中説,政府版本的軟件中沒有這些有爭議的功能,聲稱這些功能是為了阻止黑客突破應用程序中的安全限制。
DJI發言人Brendan Schulman在與《紐約時報》分享的一份聲明中表示:“我們娛樂飛行控制應用的安卓版本的安全功能,可以阻止任何人試圖使用黑客版本來覆蓋我們的安全功能,比如高度限制和地理定位系統。”
“如果檢測到黑客入侵的版本,用户會被提示從我們的網站下載官方版本。”
大疆的一位發言人補充説,用户可能很快就能從Google Play商店下載官方應用。
“在未來的版本中,用户還可以從Google Play下載官方版本,如果該版本在他們的國家可以下載的話,”發言人在一份聲明中表示,“如果用户不同意這麼做,出於安全考慮,他們未經授權的版本將被禁用。”
編譯/前瞻經濟學人APP資訊組