| 5 августа 2020 г. — 8:19 PT
DJI отрицает обвинения в том, что ее приложение «Pilot» для Android имеет проблемы с безопасностью, которые могут скомпрометировать пользовательские данные. Компания выпустила заявление, в котором опровергла каждое из обвинений, выдвинутых вчера утром в блоге французской технологической фирмы Synacktiv.
Обвинения были опубликованы вчера утром. Они были похожи на обвинения, опубликованные примерно за неделю до этого в отношении версии приложения DJI GO 4 для Android (которые DJI также опровергли). Проблема для DJI вчера заключалась в 12-часовой разнице во времени между Нью-Йорком и Шэньчжэнем. PR-агентство, продвигающее выводы Synactiv, разослало электронные письма ряду новостных изданий незадолго до 9:00 утра. Это означало, конечно, что в Шэньчжэне была ночь. Инженеры были дома, заканчивая свой рабочий день. Их пришлось бы разбудить, чтобы расследовать, насколько обоснованны, если таковые имеются, заявления Synacktiv.
Ответ DJI:
После расследования различных заявлений, о которых мы писали здесь, DJI выпустила следующее заявление. Мы цитируем его полностью:
Заявление DJI относительно дальнейших вводящих в заблуждение заявлений о безопасности приложений
Сегодняшний отчет компании Synacktiv, занимающейся цифровой безопасностью, о программном обеспечении DJI содержит дальнейшие неточности и вводящие в заблуждение заявления о том, как работают наши продукты, в дополнение к аналогичным отчетам на прошлой неделе. Мы хотим четко заявить, что продукты DJI защищают данные пользователей; что DJI, как и большинство компаний-разработчиков программного обеспечения, постоянно обновляет продукты по мере выявления реальных и предполагаемых уязвимостей; и что нет никаких доказательств того, что какие-либо из гипотетических уязвимостей, о которых сообщила Synacktiv, когда-либо были использованы. В этом сообщении мы рассмотрим новый отчет Synacktiv.
Ложное заявление Synacktiv относительно SDK Weibo
Приложение DJI Pilot для Android, доступное как на веб-сайте DJI, так и в магазине Google Play, не интегрирует комплект для разработки программного обеспечения (SDK) для связи с Weibo. Это заявление Synacktiv является ложным. Фактически, ни одна из версий приложения DJI Pilot не имеет функции для пользователей, позволяющей делиться данными с Weibo.
Вводящие в заблуждение заявления Synacktiv относительно автообновлений DJI Pilot
Приложение DJI Pilot для Android, доступное в магазине Google Play, обновляется только до официальных версий, загруженных из магазина Google Play. Пользователю предлагается обновить приложение во всплывающем окне, и приложение не будет обновлено, если пользователь не согласится. Для клиентов, которые используют наши продукты в странах, где магазин Google Play недоступен, приложение и его обновления предоставляются на нашем веб-сайте. Заголовок, резюме и первая половина отчета Synacktiv намеренно вводят в заблуждение, поскольку они не отмечают, что этот механизм ограничен только версией приложения DJI Pilot с веб-сайта и не затрагивает никого, кто получает приложение DJI Pilot из магазина Google Play.
Неполное понимание Synacktiv системы геозон DJI
Приложение DJI Pilot включает функцию Local Data Mode, которая позволяет пользователю отключить соединение с Интернетом сразу после включения этой настройки в приложении. Помимо повышения безопасности данных, эта функция блокирует возможность дрона обновлять ограничения безопасности полетов и блокирует пользователю возможность «разблокировать» некоторые геозоны. Однако Synacktiv, похоже, неверно понимает функцию системы безопасности геозон DJI и множество других доступных методов разблокировки для клиентов. Например, государственные учреждения могут участвовать в нашей программе Qualified Entities Program, которая разблокирует весь запрошенный ими регион без необходимости подключения к Интернету после первоначальной активации. Кроме того, дроны Government Edition не имеют геозон. Пользователи DJI понимают эти ограничения и планируют заранее, когда и как разблокировать ограничения полетов по геозонам, если это необходимо.
Как и в случае с автоматическими обновлениями, эти функции реализованы в целях, которые приносят пользу общественности, повышая безопасность воздушного пространства при использовании наших продуктов. Важная роль геозон в обеспечении безопасности была признана Консультативным советом по БПЛА (Drone Advisory Committee) при Федеральном управлении гражданской авиации США (FAA); совместной «Группой высокого уровня по смягчению последствий в аэропортах» (Blue Ribbon Task Force on Airport Mitigation) Международного совета аэропортов Северной Америки и Ассоциации систем беспилотных летательных аппаратов (Association for Unmanned Vehicle Systems International); а также совместной «Командой по повышению безопасности беспилотных летательных аппаратов» (Unmanned Aircraft Safety Team) FAA и отрасли. Ни одна другая компания не сделала столько, сколько DJI, для проактивного повышения безопасности полетов дронов. Мы возмущены тем, что функции безопасности снова были неправильно поняты и искажены как гипотетические угрозы безопасности исследователями, которые явно не знакомы с работой технологии дронов.
DJI немедленно устранила ранее выявленные проблемы
Хотя преувеличенный и вводящий в заблуждение первоначальный отчет Synacktiv о безопасности был процитирован в New York Times, серьезное изучение их работы показывает, что он не выдерживает критики. DJI оперативно обновила приложение DJI GO 4 для Android 31 июля, чтобы устранить ранее высказанные Synacktiv опасения относительно приложения DJI GO 4, удалив SDK Weibo и направив автоматические обновления, связанные с безопасностью, в магазин Google Play, а не на наш веб-сайт.
DJI остается единственным производителем дронов, чья продукция успешно оценивается в общедоступных отчетах различных независимых государственных и частных учреждений. DJI также остается единственным производителем дронов, создавшим Программу Bug Bounty для активного поиска ответственного раскрытия информации об уязвимостях безопасности и выплаты вознаграждений исследователям, которые их находят.
Для получения более подробной информации о надежных мерах безопасности DJI, пожалуйста, ознакомьтесь с нашим ответом на первоначальные обвинения по этой ссылке: https://www.dji.com/newsroom/news/dji-statement-on-recent-reports-from-security-researchers
Наше мнение
Эти разоблачения программного обеспечения DJI — два за две недели и от одного и того же обвинителя — имеют несколько корпоративный привкус. Кто-то заплатил Synacktiv за анализ кода. А кто-то заплатил PR-агентству за распространение информации из последнего блога Synacktiv. Эти две вещи не просто так «случились».
Означает ли это новую фазу в конкурентном маркетинге? Если так, то это похоже на те негативные рекламные кампании, которые загрязняют политические соревнования. DJI также сталкивается с неназванным обвинителем, который, по-видимому, просто платит исследовательской фирме.
Наше мнение? Это не лучшая репутация. Если это часть маркетинговых усилий какой-либо компании, мы призываем вас сосредоточиться на возможностях вашего собственного продукта. В мире и так достаточно путаницы.
Заявление DJI вы найдете здесь.
.