大疆無人機應用DJI GO 4隱私分析報告
責編:gltian |2020-07-27 13:56:44鑒于DJI無人機最近引起的爭議,某國防和公共安全技術供應商開始著手審計Android DJI GO 4應用程序的隱私安全狀況。一家供應商與Synacktiv合作,委托后者對大疆DJI GO 4應用程序進行了深入的動態和靜態分析。
Synacktiv近日公布了安全審計結果,指出DJI GO 4應用程序中值得關注的四個問題(編者按:以下報告和結論僅供業界研究,未經業界多方驗證,也不代表安全牛觀點):
- 該應用程序包含繞過Google Play商店的自我更新功能。
- 該應用程序包含通過微博SDK下載和安裝任意應用程序的功能(需要用戶批準)。在此過程中,微博SDK還將收集用戶的私人信息并將其傳輸給微博。
- 在版本4.3.36之前,該應用程序包含Mob SDK,該SDK收集用戶的私人信息并將其傳輸給中國分析公司MobTech。
- 通過Android輕掃關閉手勢關閉后,應用程序會自行重啟。因此,用戶可能被欺騙以為該應用程序已關閉,但在發送遙測請求時它可能在后臺運行。
為了對調查結果進行獨立審查,供應商要求GRIMM驗證Synacktiv的調查結果。以下是GRIMM在官方博客公布的驗證設置和工作流程:
GRIMM的靜態和動態分析驗證了Synacktiv的調查結果,同時對已知問題進行了補充:
混淆
DJI GO 4 Android應用程序被嚴重混淆,同時利用了靜態和動態混淆技術來阻礙分析。
自我更新機制
對于Synacktiv報告的DJI GO 4的自定義更新機制。此更新服務可以不使用Google Play商店,因此不受審核程序的約束。因此,不能保證為一個用戶下載的應用程序與另一個用戶的應用程序匹配。GRIMM調查了對更新執行的驗證以及是否可以濫用更新機制來安裝任意應用程序,發現如果DJI的更新服務器是惡意的或被攻擊者攻破,則可以使用此機制以惡意應用程序更新為目標用戶。需要注意的是,此行為違反了Google的開發者計劃政策。
關于微博APK
DJI GO 4應用程序包含用于下載和安裝其他應用程序的代碼。其次,DJI GO 4應用程序對Weibo SDK進行加密和模糊處理,使得該APK下載器比其他應用程序更難發現。此外,由于在微博SDK中內置了微博APK安裝程序,因此,通過多個使用該SDK的應用程序,微博能夠在用戶設備上安裝任意應用程序。最后,微博SDK通過HTTP(而不是HTTPS)發送common_config請求給用戶帶來安全風險,這將使活躍的網絡攻擊者可以查看該請求并偽造響應。
參考資料
完整報告鏈接:
https://blog.grimm-co.com/2020/07/dji-privacy-analysis-validation.html
GRIMM在官方博客相關代碼的Github鏈接:
https://github.com/grimm-co