Еще одно заявление о проблемах с безопасностью программного обеспечения DJI: ОБНОВЛЕНО

Scott Simmie | Вторник, 4 августа, 2020, 00:19.

Avatar for Scott Simmie
 | 4 августа 2020 г. — 14:30 PT
DJI Pilot App

Итак, вскоре после заявлений о том, что версия популярного приложения DJI GO 4 для Android может иметь проблемы с безопасностью, появилось новое заявление о том, что приложение DJI Pilot, предназначенное для профессиональных пользователей Enterprise, может иметь аналогичные проблемы. DJI отвергло эти обвинения, заявив, что приложение не имеет подобных проблем. PR-агентство распространило последние заявления по новостным сайтам о дронах. И это… само по себе вызывает некоторые вопросы.

23 июля появилась новость о возможной проблеме с приложением DJI GO 4. Газета The New York Times опубликовала статью, основанную на исследовании двух фирм, в которой предполагалось, что с версией DJI GO 4 для Android могут происходить некоторые странные вещи. Большая часть этого, казалось, была связана с тем, что сторонние китайские приложения могли получать некоторую личную информацию. DJI защитило свое программное обеспечение и заявило, что его собственные инженеры не смогли воспроизвести по крайней мере одно из поведений, наблюдаемых исследователями: приложение перезапускалось и обновлялось само по себе, без ведома пользователя.

Первоначальная работа была проведена двумя фирмами: французской Synacktiv и базирующейся в Вашингтоне Grimm. Теперь Synacktiv опубликовала новые результаты об приложении DJI Pilot в своем блоге. В частности, в блоге содержатся следующие пункты, которые мы цитируем:

  • «Профессиональное приложение DJI Pilot защищено тем же упаковщиком, что и потребительское приложение DJI GO 4»
  • «Профессиональное приложение DJI Pilot включает тот же механизм принудительного обновления, что и в потребительских приложениях»
  • «Для режима локальных данных „офлайн“ требуется подключение к Интернету для установки сертификатов разблокировки»

Ответ DJI

DJI исторически готовило заявления, предлагающие подробные опровержения подобных обвинений. Сегодня DJI заявило, что его инженеры были уведомлены об опасениях Synacktiv и что компания выпустит заявление позже. Мы, очевидно, обновим эту статью, когда получим ответ.

Реклама – прокрутите дальше, чтобы увидеть больше контента

ОБНОВЛЕНИЕ: DJI отвечает

Примерно через 15 часов после распространения заявлений DJI подготовило собственное опровержение. В нем говорится, что выводы Synacktiv ложны:

Сегодняшний отчет от компании по цифровой безопасности Synacktiv о программном обеспечении DJI содержит дальнейшие неточности и вводящие в заблуждение заявления о том, как работают наши продукты, вслед за аналогичными отчетами от них на прошлой неделе. Мы хотим четко заявить, что продукты DJI защищают данные пользователей; что DJI, как и большинство разработчиков программного обеспечения, постоянно обновляет продукты по мере выявления реальных и предполагаемых уязвимостей; и что нет никаких доказательств того, что какие-либо из гипотетических уязвимостей, о которых сообщила Synacktiv, когда-либо были использованы. В этой публикации мы отвечаем на новый отчет Synacktiv.

Заявление DJI

В рамках нашего текущего освещения – и отражая тот факт, что события разворачиваются в течение двух дней – мы опубликовали заявление DJI полностью здесь.

Site default logo image

Но когда мы увидели опасения, поднятые в первоначальном отчете Synacktiv, мы задались вопросом, насколько серьезны эти опасения. Представляли ли эти проблемы серьезную угрозу безопасности? Другие, кто читал наш материал, чувствовали то же самое. Вот два комментария, которые пользователи оставили к статье:

Я бы хотел, чтобы кто-нибудь продемонстрировал, как приложение DJI на вашем телефоне устанавливает соединение с сервером и передает данные на этот сервер. Если они не смогут это показать, то все их разговоры о «возможном» сборе данных или передаче вашей информации китайскому правительству ничего не значат. Я не думаю, что мы когда-либо увидим это, потому что этого не происходит. DJI слишком многое может потерять, чтобы идти на такой риск. Гораздо проще бросаться расплывчатыми обвинениями и позволять людям делать собственные выводы.

Пользователь Disqus FOHEng

Это был не единственный пользователь, который поставил под сомнение, является ли то, что обнаружила Synacktiv, чем-то серьезным:

В целом, я думаю, что их выводы указывают на полное пренебрежение конфиденциальностью, я не думаю, что это обязательно означает какой-либо злой умысел; есть немало известных приложений для Android (включая собственное приложение The New York Times), которые были раскритикованы за сбор пользовательских данных. Проблема почти всегда заключается в сторонних SDK для отслеживания, а не в самом коде приложения.

Пользователь Disqus Bob DoLe

Страх

Опасение заключается в том, что китайское правительство каким-либо образом может запрашивать любые данные от DJI. На самом деле, вариации следующей фразы – также оставленные в виде комментария на нашем сайте – появились и на других сайтах. Это заставляет задуматься, копируют ли люди просто эту фразу, или это часть более организованной кампании:

Каждая китайская технологическая компания по китайскому законодательству обязана предоставлять информацию, которую она получает, или информацию, хранящуюся в ее сетях, китайским властям по запросу. Все американцы должны быть обеспокоены тем, что их изображения, биометрические данные, местоположение и другие данные, хранящиеся в китайских приложениях, должны быть переданы аппарату государственной безопасности Китая.

Пользователь Disqus Eoaoos

Ахиллесова пята

С тех пор, как возникли опасения, что неамериканские технологии могут потенциально представлять угрозу безопасности (с особым акцентом на Китай), кажется, что на DJI объявлена охота. Мы видели довольно резкие выпады со стороны Parrot перед анонсом их модели Anafi USA. Эта новая линейка дронов напрямую нацелена на некоторых корпоративных клиентов DJI, а маркетинг сильно фокусируется на своем наследии «Сделано в США». Они также использовали эти промо-акции как часть подготовки к запуску:

Site default logo image

Обвинения вынуждают DJI перейти в оборонительную позицию, заставляя его отвечать или опровергать каждое заявление. Внешне это выглядит не очень хорошо и, вероятно, доставляет DJI огромные неудобства. Однако, что еще более важно, такие заявления оставляют после себя налет, который трудно смыть. Если посмотреть на общую картину, то начинает казаться, что совокупность событий может быть частью преднамеренной попытки нанести ущерб репутации компании. Это похоже на то, когда кого-то обвиняют в серьезном преступлении, но позже признают невиновным: некоторые всегда будут задаваться вопросом, не «ускользнули» ли они от наказания.

Кто за этим стоит?

Дроны – это большой бизнес. А корпоративные дроны, которые дороже потребительских, пользуются растущим спросом. Исторически DJI была продуктом выбора в этом секторе. Поэтому конкуренту было бы выгодно оплатить эти исследования, а также помочь распространить результаты. Также было бы в интересах любой компании, нанятой для поиска проблем, указать на каждую найденную проблему.

Это то, что происходит здесь? Мы не можем сказать с уверенностью. Но наше «чутье паука» обостряется, когда мы получаем новости о блоге Synacktiv от PR-агентства. Это совсем не то, что когда новость появляется в статье The New York Times. Это, на самом деле, кажется немного слишком надуманным, что, на мой взгляд, снижает доверие.

Site default logo image

Мы связались с агентством и напрямую спросили, было ли оно нанято одним из конкурентов DJI. Пока что… они не ответили на наш запрос.

Подождите – вы предвзяты?

Хороший вопрос. И если бы я это читал, я бы задался тем же вопросом. Я имею в виду, кажется, что я прилагаю все усилия, чтобы защитить компанию.

Хотя это может показаться так, это не так. Потому что правда в том, что DJI ориентируется на прибыль. Компания находится на вершине и хочет оставаться там. Она уже много лет предлагает щедрую программу «Bug Bounty», которая вознаграждает людей за выявление проблем с программным обеспечением. Она постоянно обновляет свои продукты и программное обеспечение и настолько известна своей скупостью, что сотрудники, ожидающие больших скидок для сотрудников на продукцию, будут разочарованы. Короче говоря: DJI не будет намеренно игнорировать проблемы с программным обеспечением, которые, вероятно, повредят ее репутации и доходам. И – особенно с ее программой «Bug Bounty» – никогда намеренно не будет внедрять вредоносный код, когда он, вероятно, будет немедленно обнаружен и разоблачен.

Так что для нас это просто не имеет смысла. И, глядя на некоторые другие материалы, связанные с этой историей, здесь есть потенциал для совершенно другого повествования.

Рекомендации

Эй – если у вас все еще есть опасения, это ваше дело. Если вас беспокоят какие-либо из проблем, выявленных Synacktiv, ее блог рекомендует следующие меры:

Чтобы снизить риски, представленные в этом посте, мы рекомендуем держать приложение обновленным и проверять, что обновление поступило из официального магазина Google Play.

Блог Synacktiv

Будет больше

Эта история не утихнет в ближайшее время. Когда появятся дальнейшие события, мы расскажем о них.

Примечание: эта статья была немного обновлена, чтобы включить ответ DJI и удалить заявления, указывающие на то, что DroneDJ все еще ожидает ответа DJI.