研究称大疆无人机控制应用存在安全漏洞 ——

" class="ssk ssk-email"> 研究称大疆无人机控制应用存在安全漏洞 ——

&tags=纽约时报" class="ssk ssk-tumblr">

研究称大疆无人机控制应用存在安全漏洞

2020-07-24 原文 🐍

研究称大疆无人机控制应用存在安全漏洞 ——

AARON KROLIK,AARON KROLIK
2020-07-24 15:26:05
研究人员发现,中国企业大疆创新的一款控制无人机的安卓应用存在漏洞。

(欢迎点击此处订阅NYT简报,我们将在每个工作日发送最新内容至您的邮箱。)

周四,网络安全研究人员披露了控制全球最流行消费类无人机的一款应用中新发现的漏洞,这可能会加剧中美之间日益紧张的关系。

在两份报告中,研究人员声称,谷歌安卓操作系统上的一款为中国大疆创新公司制造的无人机提供支持的应用收集了大量个人信息,可能会被北京政府利用。全世界有数十万客户使用这款应用来驾驶他们由螺旋桨驱动、装有摄像头的飞机。

作为全球最大的商用无人机制造商,大疆和其他取得成功的中国企业一样越来越受到美国政府的关注。五角大楼已经禁用其无人机,今年1月,出于安全考虑,内政部决定继续停飞该公司的无人机机队。大疆表示,这一决定是出于政治原因,而非软件漏洞。

几个月来,美国政府官员一直在加大警告力度,称中国政府可能利用科技产品的弱点,迫使企业披露美国用户的信息。据美国官员说,中国企业必须服从政府交出数据的一切要求。

“根据中国法律,每家中国科技企业在受到要求的情况下,都必须向中国有关部门提供获取的信息,或储存在其网络上的信息,”美国国家反谍报与安全中心(National Counterintelligence and Security Center)主任威廉·R·埃瓦尼纳(William R. Evanina)说。“所有美国人都应该担心他们存储在中国应用中的图片、生物识别信息、定位和其他数据必须移交给中国的国家安全机关。”

美国官员称,无人机漏洞正是华盛顿当局担心的那种安全漏洞。

记录下这一漏洞的安全研究公司——法国的Synacktiv和位于华盛顿市郊的GRIMM——发现,这款应用不仅能从手机收集信息,而且大疆还可以不经谷歌审查就对其进行更新,然后将更新推给用户。这可能违反了谷歌的安卓开发者服务条款。

研究人员说,用户很难检查这些变更,而且他们发现,即使该应用看起来是关闭的,但它也在等待远端的指示。

“手机可以获取无人机的一切行为,但我们这里说的信息是手机信息,”Synacktiv的工程师提菲恩·罗曼德-拉塔皮(Tiphaine Romand-Latapie)表示。“我们不明白大疆为什么需要这些数据。”

罗曼德-拉塔皮承认,这个安全漏洞并不等于后门,也不是能让黑客能进入手机的漏洞。

大疆表示,其应用程序会强制用户更新,以防止无人机爱好者入侵该应用,规避政府对无人机飞行地点和高度的限制。

“在我们一个休闲飞行控制应用程序的安卓版本中,这个安全功能可以阻止任何人使用破解版来覆盖我们的安全功能,比如高度限制和地理定位,”大疆发言人布兰登·舒尔曼(Brendan Schulman)在声明中表示。“如果检测到破解版,它会提示用户去我们的网站下载官方版本。”他还说,政府和企业使用的软件中没有这一功能。

SynacktivGRIMM都没有公开他们的客户,但这两家企业都曾为可能与大疆竞争的航空公司和无人机制造商提供服务。

一位谷歌发言人表示,该公司正在调查新报告中的说法。Synacktiv没有在这家无人机制造商的iPhone应用中发现同样的漏洞。苹果的App Store可以在中国使用。

“这一研究很好地提醒了各组织机构,需要注意用于操作的各种科技所带来的风险,”美国国家网络安全和基础设施安全局(Cybersecurity and Infrastructure Security Agency)局长克里斯托弗·克雷布斯(Christopher Krebs)说。

有关无人机的一些隐私担忧在许多应用中都很常见,它们收集的信息比用户可能意识到的要多得多。不过,研究人员列出的其他潜在漏洞,则来自于试图跨越截然不同的中国互联网环境,在中国,政府基本可以不受惩罚地要求获取用户数据,而在美国等其他地方,存在更广泛的法律保护。

例如,大疆与其安卓应用的直接关联很可能是为了解决中国封禁谷歌的政策而设计的,这些政策迫使企业自行推送安卓应用的更新。中国的应用开发者必须依靠混乱而竞争激烈的网站和应用商店才能将产品呈现给用户。在这样的限制下,更新并不是件容易的事,有的企业就开发了在必要时直接进行升级的软件。

该应用收集的大部分技术数据都符合中国政府的监控惯例,它们要求手机和无人机都直接关联用户的身份。

此类功能在美国等地看来更像是漏洞。而伴随美中关系目前处于数十年来的最低水平,华盛顿对这类问题的态度也愈发怀疑,他们认为如果北京能利用技术上的缺陷,它最终一定会这么做。

大疆是中国创新的象征,也是美国长期以来的安全隐患,它一直在努力减轻人们对其无人机安全问题的担忧,这些无人机可以拍摄电影、守卫发电厂、统计野生动物数量,还可以协助军队和警方。多年来,它多次用补丁回应有关漏洞的报告,并与美国政府密切合作,以消除其他担忧。

尽管如此,Synacktiv的安全研究人员表示,大疆代码中的问题模式及其迅速进行修复的措施同样值得担忧,因为这表明该公司已经意识到一些问题,但并没有进行修复。

“所有这些问题混合在一起,使我们产生了怀疑,”罗曼德-拉塔皮说。“如果用户不知道应用程序能够做什么,这个应用程序就会非常危险。”

Synacktiv并没有发现任何恶意上传,只是提出了该无人机应用会被这样利用的可能性。

《纽约时报》对该软件的分析证实了这一功能。时报试图直接从大疆服务器上更新该应用,结果显示时报使用的手机“不符合更新包的安装要求”。

虽然联邦政府已经基本停止使用中国制造的无人机,但州和地方政府仍在使用它们,虽然他们可以选择带有额外安全措施的专业版应用。

孟建国(Paul Mozur)是科技记者,主要报道亚洲科技和地缘政治的交叉领域。他曾两次入围普利策奖。欢迎在Twitter上关注他:@paulmozur
Julian E. Barnes是驻华盛顿国家安全记者,报道情报机构方面的新闻。2018年加入时报前,他为《华尔街日报》转接关于安全事务方面的文章。欢迎在TwitterFacebook上关注他。
Lin Qiqing对本文有研究贡献。
翻译:纽约时报中文网
点击查看本文英文版。


文章版权归原作者所有。