鉴于DJI无人机最近引起的争议,某国防和公共安全技术供应商开始着手审计Android DJI GO 4应用程序的隐私安全状况。一家供应商与Synacktiv合作,委托后者对大疆DJI GO 4应用程序进行了深入的动态和静态分析。
Synacktiv近日公布了安全审计结果,指出DJI GO 4应用程序中值得关注的四个问题(编者按:以下报告和结论仅供业界研究,未经业界多方验证,也不代表安全牛观点):
·该应用程序包含绕过Google Play商店的自我更新功能。
·该应用程序包含通过微博SDK下载和安装任意应用程序的功能(需要用户批准)。在此过程中,微博SDK还将收集用户的私人信息并将其传输给微博。
·在版本4.3.36之前,该应用程序包含Mob SDK,该SDK收集用户的私人信息并将其传输给中国分析公司MobTech。
·通过Android轻扫关闭手势关闭后,应用程序会自行重启。因此,用户可能被欺骗以为该应用程序已关闭,但在发送遥测请求时它可能在后台运行。
为了对调查结果进行独立审查,供应商要求GRIMM验证Synacktiv的调查结果。以下是GRIMM在官方博客公布的验证设置和工作流程:
GRIMM的静态和动态分析验证了Synacktiv的调查结果,同时对已知问题进行了补充:
混淆
DJI GO 4 Android应用程序被严重混淆,同时利用了静态和动态混淆技术来阻碍分析。
自我更新机制
对于Synacktiv报告的DJI GO 4的自定义更新机制。此更新服务可以不使用Google Play商店,因此不受审核程序的约束。因此,不能保证为一个用户下载的应用程序与另一个用户的应用程序匹配。GRIMM调查了对更新执行的验证以及是否可以滥用更新机制来安装任意应用程序,发现如果DJI的更新服务器是恶意的或被攻击者攻破,则可以使用此机制以恶意应用程序更新为目标用户。需要注意的是,此行为违反了Google的开发者计划政策。
关于微博APK
DJI GO 4应用程序包含用于下载和安装其他应用程序的代码。其次,DJI GO 4应用程序对Weibo SDK进行加密和模糊处理,使得该APK下载器比其他应用程序更难发现。此外,由于在微博SDK中内置了微博APK安装程序,因此,通过多个使用该SDK的应用程序,微博能够在用户设备上安装任意应用程序。最后,微博SDK通过HTTP(而不是HTTPS)发送common_config请求给用户带来安全风险,这将使活跃的网络攻击者可以查看该请求并伪造响应。
参考资料
完整报告链接:
https://blog.grimm-co.com/2020/07/dji-privacy-analysis-validation.html
GRIMM在官方博客相关代码的Github链接:
https://github.com/grimm-co
声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。