DJI onder vuur wegens verboden hot-patching code in DJI Go

Een groep hackers heeft onlangs ontdekt dat dronefabrikant DJI een dubieus stuk software heeft toegevoegd aan de DJI Go app, de software waarmee de drones van het bedrijf bestuurd worden. Het zogenaamde JSPatch is een Javascript-framework waarmee apps op afstand aangepast kunnen worden, buiten de supervisie van Apple om. Ook de Androidversie van DJI Go is voorzien van dergelijke code, in de vorm van het Tinker-framework.

Backdoor
Het toevoegen van zogenaamde hot-patching code is verboden door Apple, omdat apps nadat deze door Apple zijn goedgekeurd op afstand gewijzigd kunnen worden door de developers. Volgens security experts is het zeer dubieus dat DJI gebruik maakt van dergelijke code omdat dit met ernstige veiligheidslekken gepaard kan gaan. De functionaliteit van een app kan immers aangepast worden op het moment dat de gebruiker deze reeds heeft geïnstalleerd. Normaal gesproken wordt dergelijke code gebruikt om updates door te voeren buiten de reguliere updatecyclus, maar kwaadwillenden kunnen ook misbruik maken van zo’n backdoor, bijvoorbeeld door een app opdracht te geven om gevoelige informatie door te sluizen naar derden.

Mogelijk was het gebruik van dergelijke hot-patching code reden voor het Amerikaanse leger om onlangs het gebruik van DJI apparatuur en software volledig te verbieden. Legeronderdelen werd geadviseerd om alle apparatuur van DJI uit te schakelen en de accu’s te verwijderen. De vrees bestond dat er anders mogelijk gevoelige informatie weglekt naar de servers van DJI in China.

Offlinemodus
DJI heeft inmiddels aangekondigd om binnenkort een softwareupdate beschikbaar te stellen die het mogelijk maakt om gebruik te maken van DJI apparatuur zonder dat er ondertussen contact wordt gezocht met de servers van het bedrijf. Met deze offlinemodus komt het bedrijf tegemoet aan de zorgen over informatieveiligheid van met name institutionele gebruikers.

Normaal gesproken leggen de apps van DJI tijdens het gebruik van drones en andere apparatuur met enige regelmaat verbinding met de servers van het bedrijf. Op die manier worden onder andere actuele kaartdata en geofencinggegevens opgehaald. Nu blijkt dus dat de connectie ook gebruikt kan worden om ongemerkt nieuwe functionaliteit toe te voegen aan de apps. Volgens een woordvoerder van DJI zal ook deze hot-patching code uit de apps verwijderd worden.

Tijdelijk 50% korting op de ROC-light opleiding bij DroneLand
Wiebe de Jager

Wiebe de Jager

Wiebe de Jager (@wdejager) is oprichter van Dronewatch en auteur van de boeken Dronefotografie en Dronevideo’s maken. Wiebe is gecertificeerd (RPA-L) dronepiloot en beschikt over het ROC-light. Wiebe schrijft ook over de wereld van 360º content op 360shooter.nl.

2 gedachten over “DJI onder vuur wegens verboden hot-patching code in DJI Go

  • 17 augustus 2017 om 23:29
    Permalink

    Huh? Kweenie onder welke stenen het Amerikaanse leger vandaan komt en de rest van de wereld maar zelf heb ik een telefoon gekocht en gebruik die alleen als scherm voor de DJI mavic pro.
    Dus geen simkaart en WiFi verbinding met het internet.
    Na het vliegen je micro sd kaart in je computer en hoppa.
    Dus vrijwel niemand komt aan je gegevens.

    Beantwoorden

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Skytools
Meld je nu aan voor onze nieuwsbrief!

Vul hieronder je gegevens in en blijf op de hoogte.