中国无人机存网络安全漏洞？

据悉，美国陆军已下令停用所有中国企业大疆创新(DJI)生产的无人机，并指责这些产品存在“网络安全漏洞”。

报道说，以上内容出现在2日互联网上发布的一份美陆军备忘录中，该备忘录现已得到核实。其中还写道，此次停用的设备包括大疆生产的所有采用其系统和部件的无人机和设备，它要求“陆军各部门接下来要移除所有(大疆)电池、存储设备和安全设备”。

备忘录还写道，在美陆军使用的此类现成装备中，大疆无人机的使用最为广泛。

报道说，对于美陆军不做事先提示就直接下禁令的做法，大疆发表声明表示“惊讶和失望”。大疆还表示，将和美国陆军方面联系，确认“网络安全漏洞”的含义，并愿意和五角大楼合作，消除顾虑。

报道还援引2016年高盛分析师的估测说，大疆在全球商业和消费级无人机市场占约70%的市场份额，包括军方在内的市场未来5年的市值将超过1000亿美元。

美陆军发言人大卫?施瓦兹说，陆军方面正考虑就该政策发表声明。

报道指出，美国陆军此举似乎受美陆军研究实验室和海军近期一项研究的影响，因为陆军的禁用大疆无人机的备忘录引用了5月陆军研究报告和海军研究备忘录的内容，这些保密的研究认为大疆产品存在风险和漏洞。

太谨慎了吧，会有什么漏洞呢，想的多了吧。

大疆无人机爆安全漏洞

研究人员上周四在大疆无人机开发的安卓App中发现了多个安全漏洞，App的自动更新机制可以绕过谷歌应用商店，并用来安装恶意应用和传输敏感个人信息到大疆的服务器。

网络安全公司Synacktiv和GRIMM的两份报告显示，大疆无人机Go 4安卓应用程序不仅要求一些额外的权限，也会收集IMSI、IMEI、SIM卡序列号等个人数据，其中使用了反调试和加密技术来绕过安全分析。这种机制于恶意软件使用的C2服务器是非常类似的。考虑到Go 4安卓应用程序请求了联系人、麦克风、摄像头、位置、存储、修改网络连接的权限，大疆和微博服务器几乎可以完全控制用户的手机。

从谷歌应用商店的数据来看，Go 4的下载安装量超过100万。研究人员在App中发现的漏洞并不影响iOS 版本。

自更新机制

研究人员逆向了Go 4 App后发现了有个URL——hxxps://service-adhoc.dji.com/app/upgrade/public/check，该url被用来下载应用更新和提醒用户授权安装未知应用的权限。

研究人员修改了url中的请求来出发任意应用的更新，发现首先会提醒用户允许安装非可信的应用，然后在更新安装完成之前拦截用户使用应用。

这直接违反了谷歌应用商店的规则，攻击者还可以入侵更新服务器然后用恶意应用更新来攻击用户。此外，App在关闭后仍然可以在后台运行，并使用Weibo SDK ("com.sina.weibo.sdk") 来安装任意下载的App。GRIMM称并没有发现任何漏洞被利用来安装恶意应用攻击用户的证据。

此外，研究人员还发现App利用了MobTech SDK来窃取手机的元数据，包括屏幕大小、亮度、WLAN地址、BSSID、蓝牙地址、IMEI和IMSI号、运营商名称、SIM序列号、SD卡信息、操作系统语言和kernel版本，以及位置信息。

大疆回应

大疆回应称相关研究结果与美国国土安全局等的报告是相悖的，美国国土安全局的报告称没有证据表明政府和企业用的大疆APP存在数据传输连接。此外，目前也没有证据表明漏洞被利用。在未来的版本中，用户可以从谷歌应用商店下载官方App版本，如果用户使用的是非授权（破解）的版本，那么处于安全原因App将会被禁用。

去年5月，国土安全部发出警告称，使用大疆无人机商业用户的数据可能处于危险中，因为大疆无人机中包含有可以入侵其数据的组件，并且可以在服务器上分享信息。

更多技术分析参见：

沈阳机场遭遇无人机“黑飞”，事件的原委是怎样的？

沈阳一男子通过破解无人机限制非法进入沈阳桃仙国际机场，并主动在某短视频平台上炫耀，称要“火”一下。该男子被怀疑是未成年人。其他飞友看到视频后，他立即报警。当晚，机场派出所回应称有无人机入侵机场，警方正在全力调查。无人机黑飞在沈阳机场被击落，引发网友热议。同时，这名无人机爱好者不满16岁，认为自己没有重大犯罪行为，不会面临牢狱之灾。

这种说法很猖狂，也引起了网友的不满。要知道在机场内飞行无人机危害很大，不仅会影响机场的正常运行，还会对其他飞机造成巨大损失。黑飞机是指未取得私人飞行员执照或合法身份的飞行，即未注册飞行。这种飞行是危险的，是不允许的。根据相关法律规定，常规无人机内置地理围栏系统，在机场等敏感场所会实施禁飞区。没有监管部门的批准，是不可能飞进去的。无人机如何飞越机场？

根据该男子的“自述”视频，他花了500元通过网络渠道请人破解了无人机，还多次在自己的媒体账号上发布飞机非法飞到2000米高空的视频。无人机在生活中还是很常见的。基本上每个活动场所都能看到它们，无人机拍摄的景色也很美，同时也能给大家带来不一样的视觉感受。但无人机黑飞是指未经注册或许可驾驶无人机的行为。

这种行为是违法的，同时，也面临法律的制裁。但这一方不仅没有认识到自己的错误，甚至还吹嘘自己不会面临任何处罚，所以网友可以等待处置结果，黑飞的无人机可能会与飞机相撞，对乘客的生活造成一定影响。大疆还表示，之前有国外黑客开发销售系统破解工具，但只能用来破解没有升级到最新固件的旧款。现在，各地公安机关也在积极打击非法破解无人机。很多用户可能没有意识到破解无人机有多违法。毋庸置疑，无人机“黑飞”对公共安全、飞行安全乃至国防安全构成严重威胁。近年来，社会各界都在呼吁对无人机进行源头管理。