| 23 июля 2020 г. — 18:42 PT
По словам DJI, доказательства ясны: их программное обеспечение не представляет угрозы для конфиденциальности пользователей. Это произошло после того, как в газете New York Times появилось сообщение о том, что приложение DJI GO 4 для Android может передавать личные данные китайским социальным сетям и аналитическим фирмам. Это снова поставило DJI в положение, когда ей приходится защищаться.
Новые обвинения появились в статье от 23 июля, опубликованной в New York Times. Газета сообщила, что две исследовательские фирмы протестировали версию популярного потребительского приложения DJI GO 4 для Android и обнаружили некоторые проблемы. В статье утверждалось: «…приложение в операционной системе Android от Google… собирает большие объемы личной информации, которая может быть использована правительством Пекина».
Две исследовательские фирмы протестировали GO 4
В работе участвовали две фирмы, занимающиеся исследованиями в области безопасности – французская Synacktiv и базирующаяся в Вашингтоне Grimm. В статье NYT говорилось, что обе фирмы обнаружили, что приложение DJI GO 4 для Android «не только собирало информацию с телефонов, но и DJI может обновлять его без проверки Google изменений перед их передачей потребителям. Это может нарушать условия предоставления услуг разработчикам Google».
Анализ Synacktiv выявил четыре основные области проблем. К ним относятся:
- Приложение может обновляться самостоятельно, минуя магазин Google Play
- Приложение, по-видимому, позволяет китайской социальной сети (Weibo) использовать SDK-интерфейс для сбора частной информации пользователей
- Более ранняя версия приложения (4.3.36) позволяла китайской аналитической компании MobTech собирать частные данные пользователей
- Приложение может перезапускаться само по себе при закрытии, что означает, что оно может передавать данные, пока владелец телефона не знает об этом
DJI парирует
DJI не смогла воспроизвести как минимум одну из проблем, выявленных исследователями – самостоятельный перезапуск приложения. У компании были подробные объяснения и контекст для некоторых других действий, и она поставила под сомнение, можно ли их точно описать как значительные.
Гипотетические уязвимости, изложенные в этих отчетах, лучше всего охарактеризовать как потенциальные ошибки, которые мы проактивно пытались выявить с помощью нашей программы Bug Bounty, где исследователи безопасности ответственно раскрывают обнаруженные ими проблемы безопасности в обмен на вознаграждение до 30 000 долларов. Поскольку все приложения для управления полетами DJI разработаны для работы в любой стране, мы смогли улучшить наше программное обеспечение благодаря вкладу исследователей со всего мира, как показано в этом списке.
Заявление DJI по безопасности
Подробный ответ
В заявлении DJI представлены опровержения или контекст для всех проблем, поднятых исследователями. Это снимок экрана, охватывающий только половину этого документа.
И что может произойти, если бы фирма из социальных сетей получила ваши данные? Ну, по словам директора Национального центра контрразведки и безопасности, следующее:
«Каждая китайская технологическая компания обязана по китайскому законодательству предоставлять информацию, которую она получает, или информацию, хранящуюся в ее сетях, китайским властям, если ее попросят это сделать. Все американцы должны быть обеспокоены тем, что их изображения, биометрические данные, местоположение и другие данные, хранящиеся в китайских приложениях, должны быть переданы аппарату государственной безопасности Китая».
Уильям Р. Эванина, Национальный центр контрразведки и безопасности
Кто заказал работу?
Но остается вопрос. Кто заказал эту работу? Мы не знаем. В блоге Grimm был намек, но не более того, на то, кто запросил анализ:
Учитывая недавний скандал с дронами DJI, поставщик оборонных и общественной безопасности обратился для расследования последствий для конфиденциальности дронов DJI в приложении Android DJI GO 4.
Grimm Blog
Это, безусловно, поднимает вопрос о том, не был ли этот труд оплачен конкурентом, надеющимся использовать общие опасения по поводу китайских продуктов и компонентов. Это может быть неудивительно, поскольку мы видели агрессивный анти-DJI маркетинг со стороны Parrot перед запуском их недавнего Anafi USA.
Глубокий фон
Этот скандал или его вариации – не новинка. Еще в 2017 году было предложено «Bug Bounty» – по которому *любой*, кто выявит законную проблему, может претендовать на щедрое денежное вознаграждение (до 30 000 долларов). Это было прозрачно и ясно показывало, что компания серьезно относится к опасениям. И, как показано здесь, DJI признала наличие некоторых проблем, с которыми она разобралась.
Затем, в октябре 2019 года, Министерство внутренних дел США приостановило эксплуатацию своего парка из примерно 800 дронов из-за опасений, что они могут быть уязвимы для кибератак из Китая или других видов шпионажа. Это не обязательно было обвинение, специфичное для DJI, скорее общее опасение по поводу дронов китайского производства или дронов, использующих значительное количество деталей китайского производства. Об этом тогда подробно сообщила The Wall Street Journal.
Независимая оценка
Нет никаких явных доказательств того, что критические данные действительно находились под угрозой – только восприятие возможной угрозы. Оценки некоторых продуктов DJI проводились известной фирмой Booz Allen Hamilton. Она протестировала через Центр передового опыта в области технологий беспилотной воздушной разведки (UAS COE) компании Precision Hawk три модели DJI: Government Edition Mavic Pro и Matrice 600 Pro, а также Mavic 2 Enterprise. Результаты не выявили никаких связей этих дрон-платформ с DJI или китайскими серверами. Были обнаружены некоторые потенциальные проблемы, но они не были слишком значительными.
Тестирование выявило потенциальные уязвимости, связанные с одной или несколькими из трех дрон-платформ, которые могут быть использованы или вызваны источником угрозы. Почти все эти уязвимости требуют физического доступа к самому дрону или нахождения злоумышленника в прямой радиодиапазоне во время определенных операций.
Центр передового опыта UAS компании Precision Hawk
И все же…
В конце января Министерство внутренних дел решило продолжить приостановку полетов своих дронов. Единственными исключениями были бы противопожарные операции или другие экстренные службы. Даже отчет Министерства внутренней безопасности, который оправдал дроны, не развеял опасений. DOI заявило, что будет использовать эти продукты только в ситуациях, когда это будет абсолютно необходимо:
Мы должны гарантировать, что технология, используемая для этих операций, не поставит под угрозу наши интересы национальной безопасности.
Заявление DOI, январь 2020 г.
Большой бизнес
Для DJI корпоративные клиенты, такие как государственные учреждения США или крупные коммунальные предприятия, составляют значительную часть ее общего дохода. Но сейчас, на фоне растущей напряженности между США и Китаем, это потенциально нестабильная область.
Наш взгляд
DJI – большая компания. В последний раз, когда кто-то пытался оценить стоимость компании, она составляла 10 миллиардов долларов. Она любит быть на вершине, и фактически владеет потребительским и корпоративным рынком по всему миру. На наш взгляд, для DJI просто не имеет смысла встраивать вредоносные дефекты, которые могли бы навредить ее прибыли. Также не имеет смысла для компании предлагать глобальную программу «Bug Bounty», разработанную для поиска и устранения именно тех проблем, в которых другие обвиняют программное обеспечение и продукты компании.
Недавно мы разговаривали со старшим менеджером DJI по корпоративным коммуникациям и связям с общественностью в Северной Америке Майклом Ольденбургом. Он заявил, что DJI принимает строгие меры по обеспечению безопасности данных для своей потребительской линейки, и еще более строгие для версий Government Edition. Но он также сделал очень ясное замечание:
«Важно провести одно четкое различие», – пояснил Ольденбург.
Есть дроны для Министерства обороны, а есть дроны для всего остального в коммерческом/промышленном секторе. И в целом, мы с самого начала говорили, что мы не создаем их для соответствия военным стандартам или стандартам Министерства обороны. Это не тот рынок, который мы пытаемся обслуживать.
Майкл Ольденбург
Если есть проблема, DJI, скорее всего, ее исправит
Если исследователи действительно нашли что-то существенное, мы уверены, что DJI с этим справится. И это не только из заботы о клиенте. В конечном итоге, прибыль компании зависит от доверия. И все, что ставит это под сомнение, стоит слишком дорого.
Считаете ли вы, что в этом последнем отчете что-то есть? Или вы считаете, что продукты DJI достаточно безопасны для обычного пользователя? Дайте нам знать в комментариях ниже!