| 25 апреля 2018 г. — 22:31 PT
В прошлый понедельник мы писали об выводах отчета Kivu. Сегодня мы рассмотрим его более подробно, так как DJI прислал нам копию полного отчета. По соображениям конкуренции китайский производитель дронов попросил нас не публиковать весь отчет онлайн и не делиться никакими изображениями. Однако мы можем поделиться с вами фрагментами текста. 27-страничный документ является результатом судебного расследования Kivu Consulting’s практики передачи и хранения данных БПЛА DJI и содержит информацию о методологии Kivu, анализе, выводах, а также в некоторой степени объясняет, какая информация собирается и на какие серверы отправляется. Для своего расследования Kivu самостоятельно приобрел модели дронов DJI Spark, Mavic Pro, Phantom 4 Pro и Inspire 2, а также смартфон Huawei Honor 5x с операционной системой Android и iPhone SE под управлением iOS. Мы изучили весь отчет, чтобы узнать, появилась ли новая информация, и куда могут попадать ваши данные.
Цель отчета
В прошлом году DJI столкнулся с рядом проблем с безопасностью данных (подробности здесь), что привело к запрету на использование беспилотных летательных аппаратов от китайского производителя дронов со стороны армии США. Позднее в том же году американские чиновники начали задаваться вопросом, могут ли продукты DJI использоваться для шпионажа за США и не отправляется ли конфиденциальная информация в Китай.
DJI отнесся к этим обвинениям серьезно и полностью их отрицал. США являются важным рынком для DJI, о чем свидетельствуют многочисленные глобальные запуски продуктов, состоявшиеся здесь, включая недавний запуск Mavic Air в Нью-Йорке. Чтобы развеять растущие опасения по поводу практики безопасности данных DJI, компания решила нанять независимую компанию, специализирующуюся на судебных расследованиях, Kivu Consulting, Inc. («Kivu»), для независимой проверки практики передачи и хранения данных БПЛА DJI.
В полном отчете указано:
«Kivu была привлечена для проведения анализа безопасности данных, касающихся продуктов DJI для беспилотных летательных систем («БПЛА» или «дроны»). Объем работ включал анализ типов данных, собираемых и хранимых дронами и связанным программным обеспечением управления полетом, а также типов данных, передаваемых на удаленные серверы, условий передачи и местоположения удаленных серверов. Объем работ также включал проведение анализа безопасности данных и уязвимостей продуктов дронов и удаленных сетей, используемых для передачи и удаленного хранения данных».
Kivu была нанята McDermott Will & Emery LLP («MWE») от имени своего клиента, SZ DJI Technology Co., Ltd («DJI»), 11 октября 2017 года. Отчет был завершен 13 февраля 2018 года, а выводы были опубликованы 23 апреля 2018 года в пресс-релизе.
Краткое содержание
Поскольку мы уже подробно осветили выводы в нашей предыдущей публикации, мы кратко изложим этот раздел. Краткое содержание отчета Kivu сводится к следующему:
«Анализ Kivu дронов и системы управления полетом (дрон, аппаратный контроллер, мобильное приложение GO 4) показал, что пользователи контролируют типы данных, которые дроны DJI собирают, хранят и передают. Для некоторых типов данных, таких как медиафайлы и журналы полетов, пользователь дрона должен явно инициировать передачу на любой удаленный сервер. Для других типов, таких как первоначальные проверки местоположения или диагностические данные, пользователь может предотвратить передачу, отключив настройки в приложении GO 4 и/или отключив интернет-соединение».
Проще говоря, пользователь контролирует, какие данные он хочет загрузить на серверы DJI, и может даже полностью запретить загрузку каких-либо данных, используя смартфон или планшет без подключения к Интернету.
Давайте поговорим о серверах DJI
Это заставило нас задуматься: куда попадают ваши данные, когда вы запускаете приложение DJI Go 4, загружаете, синхронизируете или обновляете прошивку? С какими серверами DJI приложение Go 4 связывается и где они расположены? Возможно ли, что дроны DJI используются для шпионажа за США, и действительно ли информация, такая как фотографии, видео и журналы полетов, передается обратно в Китай?
Давайте рассмотрим подробнее.
1) Загрузка фотографий, видео и аудио в Skypixel от DJI
Если пользователь из США делает фотографии и видео своим дроном И загружает медиафайлы в Skypixel от DJI, его информация будет отправлена через зашифрованный туннель с использованием SSL/TLS на серверы Alibaba Cloud, расположенные в Сан-Хосе, Калифорния. В отчете также упоминается, что «Kivu не выявил ни одного случая отправки фотографий, видео или аудио на серверы DJI без прямого действия и авторизации пользователя». Дроны, проанализированные Kivu, не имеют возможности записывать аудио. Аудио может быть записано на смартфоне, но эта функция отключена по умолчанию.
2) Данные «Fly Safe» и журналы полетов
При запуске дрона DJI и приложения DJI Go 4 выбирается обобщенное местоположение в радиусе 10 км от фактического местоположения дрона и сопоставляется с базой данных зон, запрещенных для полетов. В отчете указано, что «чтобы помочь пользователям безопасно управлять дронами и избегать полетов в ограниченном воздушном пространстве, DJI реализует функцию «Fly Safe» с использованием баз данных «No Fly Zone» («NFZ»). Эти базы данных содержат информацию, относящуюся к зонам, где полеты дронов запрещены».
Во время полета дроны DJI собирают и хранят очень подробную информацию, такую как GPS-координаты по маршруту полета, GPS-координаты и миниатюры сделанных фотографий, а также любые видеозаписи. Кроме того, дрон записывает такие детали, как временные метки, скорость, направление, информация о батарее, ошибки компаса, режим, высота и множество других подробных сведений о дроне и полете. В отчете сообщается, что «у пользователей есть возможность загружать свои журналы полетов на серверы DJI для резервного копирования или отправлять их в DJI для рассмотрения в случае аварии или сбоя во время полета. Примечательно, что дроны DJI не загружают и не передают журналы полетов автоматически». Когда пользователи в США выбирают синхронизацию своих журналов полетов с DJI, информация отправляется на сервер Amazon Web Services (AWS), расположенный в Эшберне, Вирджиния, США.
«Kivu не выявил ни одной части приложения GO 4, предназначенной для автоматической или преднамеренной отправки пользовательских данных, таких как медиафайлы, журналы полетов или точные данные о местоположении, на серверы DJI без разрешения пользователя».
3) Данные о пользовательском опыте
В отчете указано, что «данные о пользовательском опыте относятся к основной информации об использовании дрона. Примеры: дальность полета, продолжительность, среднее количество фотографий, сделанных во время каждого полета, и т. д. Этот тип данных отличается от журналов полетов отсутствием GPS-данных и пользовательских данных. По умолчанию данные о пользовательском опыте автоматически передаются на серверы DJI, но пользователь может отключить эту функцию в приложении». Точно, на какие серверы отправляются данные, в отчете не указано.
4) Диагностические данные
В отчете сообщается: «данные приложения GO 4 содержат базу данных Bugly_db_. Bugly — это приложение, используемое для сбора диагностической информации и отчетности о сбоях приложений разработчикам приложений». Эта база данных содержит такую информацию, как «информация, относящаяся к устройству, на котором установлено приложение GO 4, последний IP-адрес, к которому было подключено мобильное устройство, а также International Mobile Equipment Identity («IMEI») мобильного устройства», а также тип самолета, тип камеры, тип контроллера, долгота и широта зоны полета, информация о прошивке и многое другое. Другие таблицы в той же базе данных включают возможные сообщения об ошибках, которые могли быть показаны пользователю, такие как «GEO: Вы приближаетесь к зоне предупреждения (вертолетные площадки). Летите с осторожностью». Диагностическая информация отправляется на два облачных сервера Tencent в Шэньчжэне и Пекине, Китай.
5) Дополнительная передача данных
При обновлении прошивки дрона или контроллера DJI устанавливаются соединения с сервером AWS, расположенным в Эшберне, Вирджиния, США, если вы используете DJI Assistant 2. При обновлении через смартфон устанавливается соединение с сервером AWS в Сиэтле, Вашингтон. В некоторых ситуациях соединения также устанавливались с сервером AWS в Далласе, Техас.
При открытии приложения DJI Go 4 выполняется ряд DNS-запросов к различным серверам в нескольких регионах и странах, таких как два облачных сервера Tencent в Шэньчжэне и Пекине, Китай, облачный сервер Alibaba в Гонконге и в Сан-Матео, Калифорния, а также ряд серверов AWS в Эшберне, Вирджиния, Сиэтле, Вашингтон и Майами, Флорида. Информация, передаваемая на облачный сервер Alibaba в Гонконге, содержит «код страны, операционную систему мобильного устройства и серийный номер».
6) Лично идентифицируемая информация
Из отчета Kivu: «Когда пользователь впервые использует приложение GO 4, ему предлагается создать учетную запись пользователя, содержащую адрес электронной почты в качестве имени пользователя. Однако DJI не проверяет информацию, поэтому пользователь может ввести анонимный или недействительный адрес электронной почты по своему желанию, без влияния на работу дрона. Эта информация собирается и хранится в приложении GO 4. По результатам анализа Kivu, за исключением адреса электронной почты и номера телефона, собранных во время активации продукта, дроны и приложения управления полетом DJI не собирают, не хранят и не передают какую-либо Лично идентифицируемую информацию («PII»), такую как удостоверение личности пользователя, полные имена, номера телефонов, учетные данные пользователя, фотографии или видео пользователей (кроме фотографий или видео, снятых и/или переданных с явного разрешения пользователя, как указано выше). Кроме того, Kivu не обнаружил, что дроны DJI имеют возможность получать доступ к какой-либо PII, хранящейся пользователем на мобильных устройствах Android или iOS (при подключении через приложение GO 4) или на компьютерах (при подключении с помощью программного обеспечения DJI Assistant 2)».
7) Распознавание лиц
Из отчета Kivu: «Дроны DJI не способны распознавать отдельные лица или идентифицировать людей с помощью распознавания лиц. Функция «Управление жестами» использует другую функцию, обычно называемую «FaceAware». DJI Spark использует эту технологию, позволяя пользователю управлять Spark в полете, выполняя физические жесты руками. Чтобы включить «Управление жестами» и «FaceAware», пользователь должен явно включить эту функцию в приложении. Для регистрации лица пользователя в Spark пользователь должен держать Spark на ладони перед собой, пока устройство generically распознает форму человеческого лица и его расстояние до устройства. Kivu протестировал функцию, чтобы определить, может ли она различать отдельные лица, попросив другого пользователя (который не стоял перед дроном для активации технологии FaceAware) попытаться управлять дроном жестами. Дрон реагировал на жесты от разных людей, независимо от того, кто выполнял регистрацию. В конечном итоге Kivu установила, что дроны DJI не способны распознавать личность на основе распознавания лиц».
8) Аудит информационной безопасности
В отчете также упоминается: «Kivu осведомлен о том, что некоторая информация, хранящаяся на облачных серверах AWS DJI, была недавно и непреднамеренно сделана общедоступной, и Kivu подтвердил, что DJI исправил эту проблему с доступом к облачным серверам». Не указывая точно, на какую ситуацию ссылается Kivu, почти наверняка речь идет о случае, когда исследователь безопасности Кевин Финнистер обнаружил конфиденциальную информацию, хранящуюся на серверах AWS, и в конечном итоге отказался от вознаграждения за обнаружение ошибок в размере 30 000 долларов прошлым летом.
В рамках судебно-медицинского исследования, проведенного Kivu от имени DJI, консалтинговая компания выполнила «аудиты информационной безопасности, включая стандартные отраслевые инвентаризацию активов, проверки безопасности и сканирование уязвимостей». Все выявленные проблемы были сообщены напрямую DJI, и Kivu заявляет, что они «работали с DJI над выполнением рекомендованных шагов, а затем проверили устранение».
9) Контроль доступа
Kivu упоминает в отчете, что из всех данных, хранящихся на облачных серверах AWS в США, им удалось просмотреть действующие политики безопасности, а также учетные записи пользователей и группы безопасности, имеющие права доступа к этим серверам. Kivu подтверждает, что на дату их отчета «средства контроля доступа к сети DJI в порядке и разработаны для предотвращения несанкционированного доступа к информации, хранящейся на облачных серверах AWS DJI».
В том же абзаце Kivu кратко упоминает облачные серверы Alibaba, используемые для хранения платформы обмена в социальной сети Skypixel и медиафайлов. О которых они заявили ранее в отчете: «Как AWS, так и Alibaba Cloud широко используются мировыми организациями и обладают лучшими в своем классе средствами контроля безопасности, доступными их клиентам. DJI поддерживает, управляет и получает доступ к этим серверным ресурсам через свой внутренний ИТ-отдел». Kivu не уточняет, подтвердил ли он или проверил ли меры безопасности и средства контроля доступа для облачных серверов Alibaba, расположенных в Сан-Матео, Калифорния, и Гонконге.
Kivu не делает заявления о мерах безопасности и средствах контроля доступа к серверам Tencent в Пекине и Шэньчжэне.
Мнение DroneDJ
27-страничный отчет Kivu очень подробен и местами техничен, и, безусловно, создает впечатление очень тщательного отчета. Однако следует помнить, что, несмотря на то, что судебное расследование практики «Передачи и хранения данных БПЛА DJI» проводилось независимым подрядчиком, DJI оплатил его счет. Повлияло ли это на то, как Kivu написал отчет, узнать невозможно, но такая возможность существует.
Gizmodo упомянул, что DJI с февраля 2018 года в частном порядке делился «предварительными выводами» независимого исследования Kivu с, среди прочих, некоторыми официальными лицами США, и что «преждевременное обнародование положительных результатов текущего судебного анализа, мягко говоря, не является обычным делом». Отчет датирован 13 февраля, поэтому информация, которой делились 14 февраля и позже, должна была быть окончательным отчетом, а не предварительными выводами. Почему DJI ждал до 23 апреля, чтобы наконец обнародовать выводы отчета, неизвестно.
Kivu заключает, что «дроны DJI не передают автоматически большинство типов пользовательских данных без явного разрешения пользователя» и что «другие типы данных передаются по умолчанию, но пользователи могут предотвратить эту передачу, если желают», но «пользователь может предотвратить эту передачу, отключив ее в настройках приложения GO 4 и/или используя мобильное устройство, не подключенное к Интернету». Это означает, что информированный пользователь может убедиться, что никакие данные, захваченные дроном, не отправляются через приложение DJI 4 Go на какие-либо серверы где-либо в мире.
Действительно ли отчет снимает все сомнения относительно «Практики передачи и хранения данных БПЛА DJI»? Я бы сказал, в основном да.
Во-первых, потому что как пользователь дрона DJI вы можете убедиться, что никакая информация не передается на какие-либо серверы DJI, просто не подключая свой смартфон или планшет к Интернету. Пользователи Android имеют возможность летать на своих дронах DJI в «Режиме локальных данных», который специально разработан для решения этой проблемы.
Во-вторых, согласно отчету, большая часть подробной информации, такой как фотографии и видео в высоком разрешении, остается на серверах в США и зашифрована во время передачи. Даже подробная информация журналов полетов остается на серверах AWS в Эшберне, Вирджиния, США.
В-третьих, Kivu подчеркивает, что облачные серверы AWS и Alibaba очень безопасны, и что, по крайней мере, для серверов AWS им удалось подтвердить все меры безопасности и средства контроля доступа. Что касается серверов Tencent, мы точно не знаем.
В-четвертых, отчет Kivu также сообщает нам, что дроны DJI не имеют функций распознавания лиц и что в Китай не передаются конфиденциальные данные, что делает заявления ICE и других официальных лиц США о шпионаже дронов DJI за США и отправке этой информации обратно в Китай весьма маловероятными.
Однако, даже если практика передачи и хранения данных DJI безупречна, это все равно не гарантирует, что какие-либо данные, захваченные дронами DJI, абсолютно невозможно попасть в чужие руки. Правительства, хакеры и исследователи безопасности могут все еще найти способы получить доступ к данным, хранящимся в облаке, и DJI может об этом даже не знать. По-видимому, единственный способ убедиться, что ваши данные с дрона не покинут страну, — это держать дрон офлайн.
Что вы думаете об отчете Kivu? Дайте нам знать в комментариях ниже.
Форма подписки по электронной почте
Хотели бы вы получать нашу электронную рассылку DroneRise каждое утро в будний день? Введите свой адрес электронной почты ниже и найдите в своем почтовом ящике письмо для активации, чтобы подтвердить подписку на электронную рассылку DroneRise.
Примечание: Поддержите DroneDJ, купив свой следующий дрон на нашем сайте. Вы можете использовать следующие ссылки напрямую от производителей, таких как DJI, Parrot, Yuneec, или розничных продавцов, таких как Amazon, B&H, BestBuy или eBay. Спасибо!