(歡迎點擊此處訂閱NYT簡報,我們將在每個工作日發送最新內容至您的郵箱。)
週四,網路安全研究人員披露了控制全球最流行消費類無人機的一款應用中新發現的漏洞,這可能會加劇中美之間日益緊張的關係。
在兩份報告中,研究人員聲稱,谷歌安卓操作系統上的一款為中國大疆創新公司製造的無人機提供支持的應用收集了大量個人信息,可能會被北京政府利用。全世界有數十萬客戶使用這款應用來駕駛他們由螺旋槳驅動、裝有攝像頭的飛機。
作為全球最大的商用無人機製造商,大疆和其他取得成功的中國企業一樣越來越受到美國政府的關注。五角大廈已經禁用其無人機,今年1月,出於安全考慮,內政部決定繼續停飛該公司的無人機機隊。大疆表示,這一決定是出於政治原因,而非軟體漏洞。
廣告
幾個月來,美國政府官員一直在加大警告力度,稱中國政府可能利用科技產品的弱點,迫使企業披露美國用戶的信息。據美國官員說,中國企業必須服從政府交出數據的一切要求。
「根據中國法律,每家中國科技企業在受到要求的情況下,都必須向中國有關部門提供獲取的信息,或儲存在其網路上的信息,」美國國家反諜報與安全中心(National Counterintelligence and Security Center)主任威廉·R·埃瓦尼納(William R. Evanina)說。「所有美國人都應該擔心他們存儲在中國應用中的圖片、生物識別信息、定位和其他數據必須移交給中國的國家安全機關。」
美國官員稱,無人機漏洞正是華盛頓當局擔心的那種安全漏洞。
記錄下這一漏洞的安全研究公司——法國的Synacktiv和位於華盛頓市郊的GRIMM——發現,這款應用不僅能從手機收集信息,而且大疆還可以不經谷歌審查就對其進行更新,然後將更新推給用戶。這可能違反了谷歌的安卓開發者服務條款。
研究人員說,用戶很難檢查這些變更,而且他們發現,即使該應用看起來是關閉的,但它也在等待遠端的指示。
「手機可以獲取無人機的一切行為,但我們這裡說的信息是手機信息,」Synacktiv的工程師提菲恩·羅曼德-拉塔皮(Tiphaine Romand-Latapie)表示。「我們不明白大疆為什麼需要這些數據。」
廣告
羅曼德-拉塔皮承認,這個安全漏洞並不等於後門,也不是能讓駭客能進入手機的漏洞。
大疆表示,其應用程序會強制用戶更新,以防止無人機愛好者入侵該應用,規避政府對無人機飛行地點和高度的限制。
「在我們一個休閑飛行控制應用程序的安卓版本中,這個安全功能可以阻止任何人使用破解版來覆蓋我們的安全功能,比如高度限制和地理定位,」大疆發言人布蘭登·舒爾曼(Brendan Schulman)在聲明中表示。「如果檢測到破解版,它會提示用戶去我們的網站下載官方版本。」他還說,政府和企業使用的軟體中沒有這一功能。
SynacktivGRIMM都沒有公開他們的客戶,但這兩家企業都曾為可能與大疆競爭的航空公司和無人機製造商提供服務。
一位谷歌發言人表示,該公司正在調查新報告中的說法。Synacktiv沒有在這家無人機製造商的iPhone應用中發現同樣的漏洞。蘋果的App Store可以在中國使用。
「這一研究很好地提醒了各組織機構,需要注意用於操作的各種科技所帶來的風險,」美國國家網路安全和基礎設施安全局(Cybersecurity and Infrastructure Security Agency)局長克里斯托弗·克雷布斯(Christopher Krebs)說。
廣告
有關無人機的一些隱私擔憂在許多應用中都很常見,它們收集的信息比用戶可能意識到的要多得多。不過,研究人員列出的其他潛在漏洞,則來自於試圖跨越截然不同的中國互聯網環境,在中國,政府基本可以不受懲罰地要求獲取用戶數據,而在美國等其他地方,存在更廣泛的法律保護。
例如,大疆與其安卓應用的直接關聯很可能是為了解決中國封禁谷歌的政策而設計的,這些政策迫使企業自行推送安卓應用的更新。中國的應用開發者必須依靠混亂而競爭激烈的網站和應用商店才能將產品呈現給用戶。在這樣的限制下,更新並不是件容易的事,有的企業就開發了在必要時直接進行升級的軟體。
該應用收集的大部分技術數據都符合中國政府的監控慣例,它們要求手機和無人機都直接關聯用戶的身份。
此類功能在美國等地看來更像是漏洞。而伴隨美中關係目前處於數十年來的最低水平,華盛頓對這類問題的態度也愈發懷疑,他們認為如果北京能利用技術上的缺陷,它最終一定會這麼做。
大疆是中國創新的象徵,也是美國長期以來的安全隱患,它一直在努力減輕人們對其無人機安全問題的擔憂,這些無人機可以拍攝電影、守衛發電廠、統計野生動物數量,還可以協助軍隊和警方。多年來,它多次用補丁回應有關漏洞的報告,並與美國政府密切合作,以消除其他擔憂。
儘管如此,Synacktiv的安全研究人員表示,大疆代碼中的問題模式及其迅速進行修復的措施同樣值得擔憂,因為這表明該公司已經意識到一些問題,但並沒有進行修復。
廣告
「所有這些問題混合在一起,使我們產生了懷疑,」羅曼德-拉塔皮說。「如果用戶不知道應用程序能夠做什麼,這個應用程序就會非常危險。」
Synacktiv並沒有發現任何惡意上傳,只是提出了該無人機應用會被這樣利用的可能性。
《紐約時報》對該軟體的分析證實了這一功能。時報試圖直接從大疆伺服器上更新該應用,結果顯示時報使用的手機「不符合更新包的安裝要求」。
雖然聯邦政府已經基本停止使用中國製造的無人機,但州和地方政府仍在使用它們,雖然他們可以選擇帶有額外安全措施的專業版應用。