| 23 апреля 2018 г. — 23:55 PT
В прошлом году DJI столкнулся с рядом проблем, связанных с кибербезопасностью, включая механизм горячего исправления в приложении DJI Go 4, исследователя, который обнаружил конфиденциальные пользовательские данные, доступные на серверах Amazon Web Services, заявление армии США о прекращении использования дронов DJI, утверждение Иммиграционной и таможенной службы США (ICE) о том, что дроны DJI могут выполнять распознавание лиц, и вопросы от официальных лиц США о том, отправляет ли DJI конфиденциальную информацию обратно в Китай. Сегодня DJI опубликовала обобщенные выводы независимого отчета, оплаченного DJI, от Kivu Consulting, Inc. в ответ на эти обвинения. Kivu пришла к выводу, что «пользователи контролируют типы данных, которые дроны DJI собирают, хранят и передают.»
Пользователи контролируют типы данных, которые дроны DJI собирают, хранят и передают
2017 год был тяжелым для DJI в плане кибербезопасности. В краткой последовательности китайский производитель дронов столкнулся с рядом проблем, связанных с данными.
- Во-первых, эксперты по кибербезопасности показали, что DJI внедрила механизм горячего исправления, который, по сути, позволял китайскому производителю дронов вносить кардинальные изменения в приложение DJI Go 4 без необходимости проходить необходимые процессы утверждения.
- В отдельном случае известный исследователь раскрыл конфиденциальные данные клиентов на серверах DJI, включая водительские удостоверения и паспорта.
- Летом армия США объявила, что решила прекратить использование дронов DJI из-за уязвимостей в кибербезопасности.
- Позже в августе бюллетень, выпущенный отделением Иммиграционной и таможенной службы США (ICE) в Лос-Анджелесе, всплыл с опасениями по поводу того, что дроны DJI могут выполнять распознавание лиц, даже когда система отключена.
- Наконец, в ноябре официальные лица США начали задаваться вопросом, не отправляется ли конфиденциальная информация, собранная дронами DJI, обратно на родину, в Китай.
Как я уже сказал, 2017 год был трудным для DJI. Крупнейший в мире производитель дронов отреагировал публичным заявлением, в котором говорилось, что компания «не предоставляет никакой информации или данных, собранных дроном, китайскому правительству», а позже заявила, что наняла независимую компанию для проверки обработки конфиденциальных данных своих клиентов.
Сегодня китайский производитель дронов выпустил пресс-релиз, восхваляющий выводы Kivu Consulting, Inc. из Сан-Франциско, которую DJI наняла для проведения независимого исследования практики работы с данными DJI.
Для своего анализа Kivu самостоятельно приобрела «дроны DJI Spark, DJI Mavic, DJI Phantom 4 Pro и DJI Inspire 2 для тестирования и анализа. Kivu также получила копии мобильных приложений GO 4 непосредственно из соответствующих магазинов Apple и Android и установила программное обеспечение на совершенно новые, самостоятельно приобретенные устройства Apple iOS и Android».
Помимо необходимого оборудования, Kivu также имела доступ к менеджерам и инженерам DJI в Пало-Альто, Калифорния, и Шэньчжэне, Китай, для обсуждения программного обеспечения, разработки продуктов и практик информационной безопасности. DJI даже позволила команде Kivu получить доступ к проприетарному коду.
«Это первый раз, когда DJI позволила посторонним изучить свой проприетарный компьютерный код, и результат — первое независимое подтверждение того, что мы говорили все время: DJI предоставляет надежные инструменты, чтобы помочь нашим клиентам сохранить конфиденциальность своих данных», — сказал Майкл Перри, управляющий директор DJI в Северной Америке. «Этот всеобъемлющий отчет четко опровергает необоснованные слухи о наших продуктах и уверяет наших клиентов, что они могут продолжать уверенно использовать дроны DJI».
Что исследовал Kivu
Kivu исследовал следующие области безопасности данных DJI:
- Хранение и передача данных – дроны DJI и приложение DJI Go 4 не создают и не загружают медиафайлы на серверы автоматически. Только когда пользователь выбирает это.
- Аудио – дроны DJI не могут записывать звук. Приложение DJI Go 4 может, но только если пользователь выбирает это.
- Журналы полетов – дроны DJI записывают журналы полетов на дроне и в приложении, но загружают данные на сервер только в том случае, если пользователь выбирает синхронизацию информации на устройстве с сервером.
- Диагностическая информация и данные «бесполетных зон» – по умолчанию дроны DJI передают некоторую информацию при включении устройства. Этого можно избежать, отключившись от Интернета, отключив функцию в приложении или используя режим локальных данных на устройствах Android.
- Лично идентифицируемая информация – при активации продукта пользователям предлагается ввести адреса электронной почты и номера телефонов. Эти данные не проверяются, и их не обязательно указывать точно. Другая Лично идентифицируемая информация («PII») не собирается.
- Серверы DJI – вся информация, загружаемая в облако, хранится на серверах Amazon Web Services и Alibaba Cloud, расположенных здесь, в США.
- Распознавание лиц – дроны DJI не могут идентифицировать отдельные лица и не используют программное обеспечение для распознавания лиц.
- Аудит безопасности облачных хранилищ – Kivu подтвердил, что DJI исправил данные, доступные на серверах AWS, и что компания соблюдает применимые законы.
Дуглас Браш, директор по кибербезопасным расследованиям Kivu, сказал следующее о выводах, которые вы можете скачать здесь в обобщенной форме:
«Анализ Kivu дронов и системы управления полетом (дрон, аппаратный контроллер, мобильное приложение GO 4) показал, что пользователи контролируют типы данных, которые дроны DJI собирают, хранят и передают. Для некоторых типов данных, таких как медиафайлы и журналы полетов, пользователь дрона должен явно инициировать передачу на любой удаленный сервер», — написал Браш. «Для других типов, таких как первоначальные проверки местоположения или диагностические данные, пользователь может предотвратить передачу, отключив настройки в приложении GO 4 и/или отключив интернет-соединение».
Интересно, что Gizmodo сообщил, что они имели доступ к полному 27-страничному отчету Kivu с прошлой пятницы и отметил, что приложение Go 4 от DJI действительно связывается с серверами в Китае через приложение для отчетности о сбоях под названием Bugly. Файлы собираются в базе данных под названием «Bugly_db_» и «содержат последний IP-адрес, к которому было подключено мобильное устройство, вместе с Международным идентификатором мобильного оборудования (IMEI) мобильного устройства». Местоположение этих серверов в Китае не раскрывается, и Kivu также не упоминает эту деталь в своем резюме. Мы запросили у DJI доступ к полному отчету для проверки, но пока не получили ответа.
DJI агрессивно защищался от различных претензий по безопасности данных, которые компания получила в прошлом году. Публикация сегодняшних выводов — последняя, но, безусловно, не последняя глава в этой продолжающейся истории. Мы будем держать вас в курсе по мере поступления дополнительной информации.
Пресс-релиз DJI
Вот полный пресс-релиз от DJI и ссылка на резюме Kivu:
Независимое исследование подтверждает практику безопасности данных DJI
Отчет показывает, что системы DJI обеспечивают конфиденциальность данных клиентов
DJI, мировой лидер в области гражданских дронов и технологий воздушной визуализации, в понедельник опубликовал результаты независимого отчета, изучающего практики работы с данными DJI, который приходит к выводу, что пользователи дронов DJI контролируют, как их данные собираются, хранятся и передаются.
В отчете анализировались дроны и программное обеспечение, приобретенные независимо в США в конце прошлого года, и подтверждено, что DJI не получал доступ к фотографиям, видео или журналам полетов, сгенерированным дронами, если операторы дронов добровольно не решили их поделиться.
«Это первый раз, когда DJI позволила посторонним изучить свой проприетарный компьютерный код, и результат — первое независимое подтверждение того, что мы говорили все время: DJI предоставляет надежные инструменты, чтобы помочь нашим клиентам сохранить конфиденциальность своих данных», — сказал Майкл Перри, управляющий директор DJI в Северной Америке. «Этот всеобъемлющий отчет четко опровергает необоснованные слухи о наших продуктах и уверяет наших клиентов, что они могут продолжать уверенно использовать дроны DJI».
Отчет компании Kivu Consulting, Inc., базирующейся в Сан-Франциско, был основан на первом в своем роде подробном исследовании дронов, мобильных приложений и серверов DJI, а также потоков данных, которые они передают и получают. Инженеры Kivu тщательно изучили репозитории кода мобильных приложений DJI и проверили, могут ли дроны DJI передавать конфиденциальные пользовательские данные без подключения к приложению DJI. DJI не участвовала в выводах или заключениях Kivu.
«Анализ Kivu дронов и системы управления полетом (дрон, аппаратный контроллер, мобильное приложение GO 4) показал, что пользователи контролируют типы данных, которые дроны DJI собирают, хранят и передают», — написал Дуглас Браш, директор по кибербезопасным расследованиям Kivu, в резюме, доступном для загрузки здесь.
«Для некоторых типов данных, таких как медиафайлы и журналы полетов, пользователь дрона должен явно инициировать передачу на любой удаленный сервер», — написал Браш. «Для других типов, таких как первоначальные проверки местоположения или диагностические данные, пользователь может предотвратить передачу, отключив настройки в приложении GO 4 и/или отключив интернет-соединение».
Kivu самостоятельно приобрела дроны DJI, а также устройства iOS и Android в США и скачала мобильные приложения DJI GO 4. Kivu настроила системы для захвата всех данных, передаваемых через устройства iOS и Android с работающим DJI GO 4, и проанализировала исходный код, данные приложений, адреса серверов и данные, сгенерированные во время работы.
В последние месяцы появились сообщения, утверждающие, что дроны DJI могут передавать конфиденциальные пользовательские данные без ведома или согласия пользователя. Ни одно из этих утверждений не было подкреплено доказательствами, кроме предположений. Отчет Kivu однозначно показывает, что DJI обеспечивает защиту персональных данных, а противоположные утверждения являются явно ложными.
DJI продолжает подчеркивать свои усилия по решению проблем безопасности данных и заверить клиентов, что они могут по-прежнему полагаться на продукты DJI как на самую стабильную, надежную и инновационную платформу для дронов.
Форма подписки по электронной почте
Хотите получать наш еженедельный информационный бюллетень DroneRise каждое утро в будний день? Введите свой адрес электронной почты ниже и найдите письмо для активации в своем почтовом ящике, чтобы подтвердить подписку на рассылку DroneRise.
Примечание: Поддержите DroneDJ, купив свой следующий дрон на нашем сайте. Вы можете использовать следующие ссылки напрямую от производителей, таких как DJI, Parrot, Yuneec, или розничных продавцов, таких как Amazon, B&H, BestBuy или eBay. Спасибо!