Der Drohnenhersteller DJI ist vor wenigen Tagen erneut mit Berichten über potenzielle Sicherheitslücken in einer seiner Drohnen-Apps in die Presse geraten. Anlass war ein Bericht, der von einem französischen IT-Sicherheitsunternehmen veröffentlicht worden war.
Das DJI in Bezug auf schlechte Schlagzeilen im Kontext mit Datensicherheit aktuell keinen leichten Stand hat, dürfte bereits hinlänglich bekannt sein. Immer wieder gab es Vorwürfe, vor allem von der US-Regierung oder regierungsnahen Organisationen, dass chinesischen Drohnen und explizit Drohnen von DJI Daten sammeln und der chinesischen Regierung zur Verfügung stellen würden. Belegt wurde dies bisher nie.
Die Neuigkeiten, die DJI jetzt zu einer Stellungnahme veranlasst haben, sind jedoch erstmals aus Frankreich getrieben – dem Land, in dem einer von DJIs Konkurrenten seinen Hauptsitz hat. Über den Inhalt der Sicherheitsberichte haben wir euch bereits hier ausführlich berichtet.
DJI spricht von potenziellen Sicherheitslücken
In seiner offiziellen Stellungnahme zu der Veröffentlichung des Sicherheitsreports durch das Unternehmen Skyacktiv, stellt DJI direkt klar: Es handelt sich bei den beschriebenen Szenarien aus Sicht des Herstellers um potenzielle Sicherheitslücken, die nach Informationen von DJI noch nie missbraucht worden sind.
DJI weist auch auf sein offizielles Bug Bounty Program hin, das es IT-Sicherheitsforschern ermöglicht, für die Meldung sicherheitsrelevanter Fehler oder Einfallstore bis zu 30.000 US-$ zu kassieren. Solche Programme sind in der IT-Branche nichts Unübliches und haben sich an anderer Stelle für verschiedene Unternehmens schon als sehr wertvoll erwiesen und viel Schaden abgewandt.
Zu den technischen Tatsachen äußerte sich DJI ebenfalls und unterstreicht damit den Bericht der New Work Times. Das direkt auf Android Geräte gepushte Update der DJI Go 4 App wird immer dann zur Pflicht, wenn eine Veränderung der offiziellen App-Version festgestellt wird. DJI begründet dieses Vorgehen damit, dass nur so sichergestellt werden kann, das Nutzer die GeoFencing- und Höhenbeschränkungnen nicht mutwillig deaktivieren oder die App in einer anderen schädlichen Art und Weise modifizieren.
In 2019 machte eine solche modifizierte Version der DJI Go App Schlagzeilen, die es ermöglichte, sich über alle von DJI vorgesehenen Beschränkungen hinwegzusetzen.
DJI gibt zugleich bekannt, dass es in der Zukunft außerdem möglich sein soll, die Neuinstallation einer veränderten App auch direkt über den Google Play Store vorzunehmen, anstatt das App-Paket von einem Drittserver. Das wird aber nur in Regionen funktionieren, wo Googles App Plattform auch zur Verfügung steht.
Auch auf die Verwendung des Mob SDK und der im Sicherheitsbericht genannten Bugly Komponente hat DJI informiert: Die beiden Komponenten sind zwar fürher in Verwendung gewesen, wurden aber aufgrund der genannten potenziellen Sicherheitslücken bereits ausgetauscht. Über einen tatsächlichen Abfluss von Nutzerdaten liegen DJI aber auch an dieser Stelle keine Informationen vor.
DJI Pilot App und Government Edition nicht betroffen
Die Stellungnahme von DJI macht an mehreren Stellen außerdem ausdrücklich klar, dass Drohnen der Enterprise-Serie nicht von den gefunden Sicherheitslücken betroffen sind.
Diese Drohnen nutzen die DJI Pilot App. Hier verzichtet DJI offensichtlich auf einen entsprechenden Mechanismus für Push-Updates unter Android. Auch die angesprochenen SDKs kamen hier noch nie zum Einsatz.
Dasselbe gilt ebenfalls für die Government Edition Firmware. Das macht auch Sinn, denn diese wird nicht durch ein Online-Update aktualisiert, sondern setzt auf ein geprüftes Offline-Verfahren. Government Edition Kunden von DJI haben außerdem selbst in der Hand, welche Version wann und wie auf Drohnen aufgespielt wird.
In diesem Zusammenhang hat DJI sich außerdem noch einmal öffentlich für die Entwicklung von IT-Sicherheitsstandards in der Drohnenbranche ausgesprochen, um allen Drohnennutzern ein einheitliches Sicherheit-Framework zu bieten – egal, welche Drohne sie fliegen.
Quelle: DJI
