歐美研究揭發 DJI 航拍機操作 App 保安漏洞,黑客可完全奪取手機控制權或盜竊機內資料
DJI 是航拍機市場最大的生產商,要操作航拍機在空中飛行或拍攝,需先在手機或平板下載相關應用程式(App)。但外國有研究顯示,用於操作 DJI 航拍機的 Android App,內置功能可能令黑客對安裝程式的手機進行惡意入侵,甚至完全奪取手機控制權。
法國及美國保安研究公司 Synacktiv 與 GRIMM 最近進行的研究顯示,Android 版本的 DJI GO 4 可以繞過Google強制用戶進行更新,只要應用程序具有訪問權限(包括聯絡人資料、鏡頭、地理位置等),DJI 或第三方便可近乎完全控制用戶手機,並收集國際移動用戶辨識碼(IMSI)、國際行動裝置辨識碼(IMEI)及SIM卡卡號等一系列非用於航拍機控制的資料。
研究人員指,DJI GO 4 還可以通過微博軟件開發工具包,在用戶手機上安裝其他不知名應用程式,令客戶的手機資料與微博共享,即使用戶已關閉應用程式,該程式也會繼續在後台運行並發出網絡請求,這表示所有有潛在能力進入 DJI 伺服器的人士、機構,甚至中國政府,都可以存取目標用戶資料,而目前尚未在 IOS 版本發現相同問題。
DJI 產品是熱門航拍機之選
這並非 DJI 首次被質疑具網絡安全問題,三年前美國軍方就已因軟件安全理由全面停用 DJI 無人機,而本年 1 月,美國內政部也基於保安考慮停用 DJI 產品。
如果不想行蹤、照片等個人資料被洩漏,除了放棄 DJI 產品,另一個方法或許就是更換一部較為安全的手機了,畢竟 IOS 系統也還未被發現有問題吧,對不對?
延伸閱讀︰
美國裁定 DJI 侵犯 Autel 無人機專利,多款熱賣機種包括 Mavic 系列或被逼退出美國市場
DJI 擬推出與哈蘇 X1D-50c 幾乎一樣的相機,外觀設計專利申請中
Source:cyberscoop