Anschuldigungen: Auch Pilot App hat Sicherheitslücken, DJI widerspricht

DJI sieht sich erneut mit Anschuldigungen konfrontiert, die dem Drohnenhersteller unterstellen, auch die DJI Pilot App würde Sicherheitslücken enthalten. Quelle ist erneut die französische IT-Analyse-Firma Synacktiv, die auch bereits die angeblichen Sicherheitslücken in der DJI Go 4 App entdeckt hatte.

Der Wind um die Datensicherheit von chinesischen Drohnen – allen voran Produkten von DJI – nimmt aktuell nicht ab. Nachdem vor knapp zwei Wochen zwei Berichte der Unternehmen Synacktiv und Grimm potenzielle Sicherheitslücken in der Android Version der DJI Go 4 App veröffentlichten, legt Skyacktiv nun nach. Basierend auf dem neusten Blogpost der Analysefirma soll nun auch die DJI Pilot App „betroffen“ sein.

DJI hatte sich bereits ausführlich zu dem ersten Vorfall geäußert und sinnvolle Erklärungen für das Verhalten der DJI Go 4 App sowie Gegenmaßnahmen vorgestellt. Auch zu den neuen Anschuldigungen hat sich der Drohnenhersteller nun bereits geäußert.

DJI Pilot App soll gleiche Problemstellen aufweisen

Die ersten Reports zu der DJI Go 4 App haben im Kern zwei Dinge festgestellt, die die IT-Sicherheitsanalysten DJI vorhalten. Zum einen verwendete(e) DJI bei seiner DJI Go 4 App eine Art Zwangsupdate von Drittservern in Ländern, in denen kein Google Play als Store bereitsteht. Dadurch könnte laut Synacktiv ohne Wissen des Nutzers jegliche Art von Code unbemerkt in das Telefon des Nutzers eingespielt werden.

DJI Pilot App Start Screen
Der neue Synacktiv-Report nimmt die DJI Pilot App ins Visier.

DJI erklärt diese Updates damit, dass das System bei jedem Start die Integrität der App Daten prüft, um sicherzustellen, dass die App nicht modifiziert worden ist. Solche Modifikationen hat es bereits gegeben, in dem Nutzer versuchten, die Geo Fencing Systeme zu umgehen, die sensible Bereiche des Luftraums für DJI Drohnen sperren.

Das zweite Problem, das Synacktiv und Grimm in ihren Reports vorgestellt haben, ist die Verwendung spezieller SDKs, für die Bereitstellung verschiedener Onlinefunktionen. Diese Drittanbieterschnittstellen könnten Daten der Nutzer sammeln und ohne deren Wissen verwenden..

In dem neusten Bericht hat Synacktiv sich nun der DJI Pilot App angenommen. Diese App wird von DJIs Enterprise Produkten, wie der Mavic 2 Enterprise oder Matrice Drohnen, verwendet. Insgesamt listet die Website drei Sicherheitslücken, die auch für die Pilot App gelten sollen. Alle berichteten Funde beziehen sich erneut lediglich auf die Android Version.

  • Das Weibo SDK soll ebenfalls in einigen Versionen der DJI Pilot App verwendet werden.
  • Die DJI Pilot App soll den gleichen „Zwangs-Updatemodus“, wie die DJI Go 4 App enthalten.
  • Der „Local Data Mode“ der DJI Pilot App soll trotzdem eine Internetverbindung zur Entsperrung von Geozonen benötigen.

DJI widerspricht Aussagen vehement

DJI hat innerhalb weniger Stunden nach Veröffentlichung auf die neuen Anschuldigungen reagiert und abermals ein entsprechendes Statement veröffentlicht, in dem zu den verschiedenen technischen Punkten Stellung genommen wird.

Folgende Aussagen trifft DJI in seiner Gegenposition:

  • Die Verwendung des Weibo SDK in der aktuellen Version der DJI Pilot App (Play Store und DJI Website) ist eine Falschaussage von Synacktiv. Diese Technologien kommen nicht zum Einsatz.
  • Die Darstellung der Auto-Update-Funktion wird irreführend dargestellt. Alle Pilot App Installationen, die über den Google Play Store installiert werden, werden ausschließlich über diese Quelle aktualisiert. Für Länder ohne Google Play Zugriff erfolgt das Update über die DJI Website. Die App wird jedoch niemals ohne Wissen und Zustimmung des Nutzers aktualisiert.
  • Synacktiv hat den Local Data Mode (LDM) nicht richtig verstanden. Um Geo Fencing Restriktionen aufzuheben, müssen Piloten ein spezielles Zertifikat anfordern. Zum Einspielen ist eine Aktivierung des Dienstes über das Internet erforderlich. Danach kann der LDM aber wieder aktiviert werden. Dieses ist auch vorab möglich, sodass während der Missionen keine Daten übertragen werden können. Behörden können sich außerdem direkt ganze Regionen freischalten lassen. Drohnen mit Government Edition Firmware haben erst gar keine Beschränkungen für Geozonen.

DJI weißt an dieser Stelle auch erneut daraufhin, dass die hypothetischen Sicherheitslücken der Go 4 Android App bereits am 31. Juli 2020 mit einem Update geschlossen wurden. Das Weibo SDK wurde entfernt und das Auto-Update verweist nun immer direkt auf den Google Play Store.

Ein fader Beigeschmack

Insgesamt wirkt die Berichterstattung über DJI in vielen Medien in Bezug auf die Datensicherheit in vielen Fällen einseitig. Vor allem aus den USA kommt aktuell ein starker Gegenwind, der seit den ersten Anschuldigungen des DHS zu Spionage durch DJI Drohnen mittlerweile nur noch kurzzeitig abflaut.

Auf der anderen Seite gibt es bisher immer noch keine klaren und stichfesten Beweise dafür, dass auch nur eine einzige der vielen Anschuldigungen Nutzerdaten zu sammeln oder etwa Drohnendaten an die chinesische Regierung weiterzugeben, standhalten würde.

Aus der Ferne betrachtet wirken die Berichte der letzten Wochen eher so, als ist DJI als Weltmarktführer seiner Branche aktuell das Ziel einer gut geplanten Medienkampagne geworden, die den Ruf des Unternehmens schädigen sollen.

Die Kollegen von DroneDJ.com berichten unterdessen, dass ihnen der neue Blog-Post von Synacktiv sogar über eine PR-Agentur zugespielt worden ist. Sollte das stimmen, stellt sich die Frage: Wer bezahlt eine PR-Agentur, um einen hochtechnischen Sicherheitsbericht über eine App-Sicherheitslücke zu bewerben?

Sind wir befangen?

Wer die Berichterstattung auf Drone-Zone.de zu dem Thema verfolgt, dem ist hoffentlich aufgefallen, dass wir stets versuchen neutral über Vorfälle dieser Art zu berichten. Trotz allem bleibt aktuell auch bei uns das Gefühl: Hier könnte etwas nicht stimmen. Und zwar nicht in Bezug auf die Datensicherheit von DJI Apps, sondern in Bezug auf die Berichterstattung und die Quellen, die diese Informationen verbreiten.

DJI ist ein internationales Unternehmen, dass am Ende des Tages Gewinne erwirtschaften will. Die Datensicherheit der eigenen Produkte steht seit einigen Jahren sehr genau auf dem Prüfstand. Absichtlich Sicherheitslücken zu integrieren, würde DJI bei Bekanntwerden voraussichtlich viele Kunden kosten. Und das in einem Markt, der aktuell hart umkämpft wird. Dieses Risiko dürfte kein Unternehmen freiwillig eingehen.

Außerdem widerspricht DJIs Bug Bounty Programm dem aktiven Einbauen von Hintertüren in die eigene Software, um irgendwelchen Dritten Zugang zu Drohnendaten zu gewährleisten. Das Programm hat Teilnehmern in den letzten Jahren bereits einiges an Auszahlungen gebracht, was motiviert, weitere Lücken zu finden. DJI würde sich also in das eigene Fleisch schneiden, wenn aktiv Sicherheitslücken eingebaut würden, die dann in kürzester Zeit unter der Forderung von Zahlungen durch die Sicherheit-Community aufgedeckt würden.

Quelle: DJI, DroneDJ, Synacktiv

Bleibt in Kontakt!

Wenn ihr über die neuesten Drohnennachrichten, Leaks, Gerüchte, Guides und Testberichte auf dem Laufenden bleiben möchtet, dann folgt uns gerne auf Twitter, YouTube, Facebook oder Instagram.

Auf der Suche nach eurer nächsten Drohne von DJI*, Parrot*, Yuneec* oder einem anderen Modellen*? Wenn ihr unsere Partnerlinks (*) beim Drohnen-Shoppen verwendet, erhalten wir eine kleine Provision, für euch ändert sich aber nichts am Preis. Vielen Dank, dass ihr dabei helft Drone-Zone.de wachsen zu lassen!

Außerdem freuen wir uns natürlich über eure Nachrichten oder Fragen in den Kommentaren!

Hinweis: Mit Sternchen (*) markierte Links sind Affiliate-Links / Partnerlinks. Mit einem Kauf über diesen Link erhalten wir als Seitenbetreiber eine Verkaufsprovision. So kannst du Drone-Zone.de ganz einfach unterstützen. Mehr Informationen dazu findest du hier.

Nils Waldmann

Hi, ich bin Nils! Ich bin leidenschaftlicher Modellbauer, Hobby-Fotograf, Akku-Liebhaber und RC-Pilot. Ich berichte hier über die neusten Entwicklungen in der Drohnen-Branche und kümmere mich um detaillierte Anleitungen, Guides und Testberichte.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.