BedrijvengidsOok ROC-light opleidingen en verzekeringen! Zoek bedrijf

DJI onder vuur wegens verboden hot-patching code in DJI Go

Een groep hackers heeft onlangs ontdekt dat dronefabrikant DJI een dubieus stuk software heeft toegevoegd aan de DJI Go app, de software waarmee de drones van het bedrijf bestuurd worden. Het zogenaamde JSPatch is een Javascript-framework waarmee apps op afstand aangepast kunnen worden, buiten de supervisie van Apple om. Ook de Androidversie van DJI Go is voorzien van dergelijke code, in de vorm van het Tinker-framework.

Backdoor
Het toevoegen van zogenaamde hot-patching code is verboden door Apple, omdat apps nadat deze door Apple zijn goedgekeurd op afstand gewijzigd kunnen worden door de developers. Volgens security experts is het zeer dubieus dat DJI gebruik maakt van dergelijke code omdat dit met ernstige veiligheidslekken gepaard kan gaan. De functionaliteit van een app kan immers aangepast worden op het moment dat de gebruiker deze reeds heeft geïnstalleerd. Normaal gesproken wordt dergelijke code gebruikt om updates door te voeren buiten de reguliere updatecyclus, maar kwaadwillenden kunnen ook misbruik maken van zo’n backdoor, bijvoorbeeld door een app opdracht te geven om gevoelige informatie door te sluizen naar derden.

Mogelijk was het gebruik van dergelijke hot-patching code reden voor het Amerikaanse leger om onlangs het gebruik van DJI apparatuur en software volledig te verbieden. Legeronderdelen werd geadviseerd om alle apparatuur van DJI uit te schakelen en de accu’s te verwijderen. De vrees bestond dat er anders mogelijk gevoelige informatie weglekt naar de servers van DJI in China.

Offlinemodus
DJI heeft inmiddels aangekondigd om binnenkort een softwareupdate beschikbaar te stellen die het mogelijk maakt om gebruik te maken van DJI apparatuur zonder dat er ondertussen contact wordt gezocht met de servers van het bedrijf. Met deze offlinemodus komt het bedrijf tegemoet aan de zorgen over informatieveiligheid van met name institutionele gebruikers.

Normaal gesproken leggen de apps van DJI tijdens het gebruik van drones en andere apparatuur met enige regelmaat verbinding met de servers van het bedrijf. Op die manier worden onder andere actuele kaartdata en geofencinggegevens opgehaald. Nu blijkt dus dat de connectie ook gebruikt kan worden om ongemerkt nieuwe functionaliteit toe te voegen aan de apps. Volgens een woordvoerder van DJI zal ook deze hot-patching code uit de apps verwijderd worden.

2 Comments

Leave a Reply

Skytools
Meld je nu aan voor onze nieuwsbrief!

Vul hieronder je gegevens in en blijf op de hoogte.