DJI betwist vermeende kwetsbaarheid in Androidversie DJI GO 4

De Androidversie van de populaire DJI GO 4 app bevat een kwetsbaarheid die de Chinese overheid in staat zou stellen om toegang te krijgen tot gegevens op de smartphones van gebruikers. Ook kan DJI de app buiten de systemen van Google om updaten. Dat meldt de New York Times, op basis van onderzoek van twee cybersecuritybedrijven. DJI betwist de uitkomsten van het onderzoek.

Buiten Google om updaten

De kwetsbaarheid in de DJI GO 4 app, die gebruikt wordt om diverse populaire consumentendrones van de Chinese fabrikant te besturen, werd onafhankelijk van elkaar ontdekt en onderling bevestigd door twee cybersecuritybedrijven: het Franse Synacktiv en het Amerikaanse Grimm.

Volgens de onderzoekers kan DJI de GO 4 app buiten de systemen van Google om updaten, iets wat volgens de richtlijnen voor Android ontwikkelaars niet is toegestaan. Dit zou op zichzelf al een veiligheidsrisico zijn, omdat hierdoor het controleproces van Google Play wordt omzeild. Ook bevat de app software van het Chinese socialmediabedrijf Weibo. Data die met dit netwerk gedeeld wordt, kan volgens de gebruiksvoorwaarden van dit bedrijf opgevraagd worden door de Chinese overheid.

Olie op het vuur

De uitkomsten van het onderzoek zijn olie op het vuur voor Amerikaanse overheidsorganisaties die het liefst zouden zien dat er zoveel mogelijk Chinese apparatuur wordt geweerd uit de VS. “Gebruikers moeten zich realiseren dat al hun data, foto’s en locatiegegevens in apps van Chinese origine mogelijk opgevraagd kunnen worden door Chinese overheidsdiensten”, aldus NCSC-directeur William R. Evanina.

Google heeft een onderzoek ingesteld naar de bevindingen van de twee onderzoeksbedrijven. De iOS-versie van de app zou geen kwetsbaarheid bevatten. “Hoe dan ook doen bedrijven er verstandig aan om na te denken over de veiligheidsrisico’s bij het gebruik van apparatuur en software in hun bedrijfsprocessen”, stelt Christopher Krebs van het CISA, een Amerikaanse overheidsdienst die over de binnenlandse cybersecurity waakt.

Reactie van DJI

DJI heeft inmiddels uitgebreid gereageerd op de beschuldigingen. In een verklaring stelt het bedrijf dat het op afstand updaten van de app bedoeld is om te voorkomen dat gebruikers gemodificeerde versies van de app gebruiken. Dergelijke apps bevatten bijvoorbeeld geen geofencing of hoogterestricties, en het gebruik hiervan zou DJI met de gewraakte updateprocedure willen voorkomen.

Wat betreft het gebruik van Weibo stelt DJI dat het aan de gebruiker is om ervoor te kiezen om updates te delen met dit netwerk, en dat DJI verder niet verantwoordelijk kan worden gehouden voor wat Weibo vervolgens met die data doet.

Zoveelste beschuldiging

Het kritische rapport is de zoveelste beschuldiging aan het adres van DJI op het vlak van informatieveiligheid. In het verleden zijn vaker kwetsbaarheden ontdekt in de software van DJI, waarna het bedrijf uiteenlopende maatregelen nam, waaronder de ontwikkeling van speciale softwareversies voor overheden. Ook nam DJI het onderzoeksbureau Booz Allen Hamilton in de arm. Dit bedrijf toonde aan dat de Government Edition Mavic Pro, M600 Pro en Mavic 2 Enterprise geen data naar Chinese servers sturen.

Toch lijkt het er steeds meer op dat DJI de strijd in de VS aan het verliezen is. Veel overheidsorganisaties mogen inmiddels geen gebruik meer maken van DJI apparatuur en onder andere het leger investeert flink in alternatieven voor de onbemande luchtvaartuigen van DJI, waaronder drones van het Franse Parrot en het Amerikaanse Skydio.

Reputatieschade toebrengen

Interessant is tot slot de vraag wie de opdrachtgever is van onderzoek naar de werking van de DJI app. Daarover geven de twee onderzoeksbureaus geen uitsluitsel. Wel werken beide bureaus wel eens voor andere luchtvaartbedrijven en dronefabrikanten. Dat leidt tot de speculatie dat er wel eens een concurrent van DJI achter het onderzoek zou kunnen zitten, in een poging om DJI verdere reputatieschade te doen toekomen.

Wiebe de Jager

Wiebe de Jager (@wdejager) is oprichter van Dronewatch en auteur van de boeken Dronefotografie en Dronevideo's maken. Wiebe is gecertificeerd (RPA-L) dronepiloot en beschikt over een volledige ROC vergunning.

2 gedachten over “DJI betwist vermeende kwetsbaarheid in Androidversie DJI GO 4

  • 25 juli 2020 om 11:08
    Permalink

    Weet iemand hoe je op een Android smartphone kunt instellen dat zaken niet met Weibo worden gedeeld?

    Beantwoorden
  • 30 juli 2020 om 15:10
    Permalink

    Met blokada (punt org) kun je naast advertenties ook zelf servers toevoegen aan de blokkade lijst, geen enkele app kan dan nog verbinding maken met (bv) Weibo.

    Beantwoorden

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Meld je aan voor onze nieuwsbrief!

Vul hieronder je gegevens in en blijf op de hoogte.

Open nieuwsbrief aanmeldformulier