Der Drohnenhersteller Parrot hat ein unabhängiges Audit seiner Drohnen-App FreeFlight 6 durchführen lassen, um die Funktionen und Arbeitsweisen der Software auf den sicheren Umgang mit Nutzerdaten testen zu lassen. Parrot wirbt derzeit aktiv mit dem hohen Datenschutz- und Datensicherheitsniveau seiner Produkte.
Das Thema Datensicherheit und der diskrete Umgang mit Nutzerdaten ist in der Drohnenwelt aktuell ein wichtiges Thema, das vor allem behördliche Drohnenutzer umtreibt. Parrot hat sich diesen Themenkomplex als einen Hauptfokus der aktuelle ANAFI-Drohnen gewählt und dies zuletzt mit der Vorstellung der ANAFI USA Drohne noch einmal unterstrichen.
Im Vorfeld der Vorstellung dieses neuen Drohnenmodells, hatte es sich das französische Unternehmen auch nicht nehmen lassen, einige Seitenhiebe in Richtung DJI zu verteilen. Der chinesischen Drohnenhersteller steht seit Längerem im negativen Fokus in Bezug auf die Datenverwendung seiner Produkte und sieht sich mit verschiedenen Anschuldigungen konfrontiert, von denen bisher jedoch keine wirklich stichhaltig belegt werden konnte.
FreeFlight 6 geht sparsam mit Nutzerdaten um
Parrot ist nun aktiv den Schritt gegangen auch seine Drohnen-App FreeFlight 6 von einem unabhängigen Dienstleister auditieren zu lassen. Die Nachricht kommt nur wenige Tage, nachdem auch DJI seine Apps überprüfen ließ und weitere Funktionen zum Schutz der Nutzerdaten ankündigte.
Die FreeFlight 6 App ist die aktuelle Softwareplattform für alle Parrot Drohnen der ANAFI Familie. Die Software ist sowohl für iOS als auch für Android-Geräte verfügbar. Das aktuelle Sicherheitsaudit wurde von dem Security-Spezialisten Bishop Fox durchgeführt.
Die Analysten kommen zu dem Ergebnis, dass die Parrot App sämtlichen in den Datenschutzbedingungen beschriebenen Kriterien einhält. Nutzerdaten, dazu zählen auch sämtliche Bild-, Video- und Tonaufzeichnungen, werden nur dann mit Dritten geteilt, wenn der Nutzer dieses ausdrücklich will. Darunter fällt beispielsweise das Teilen von Inhalten auf Social Media Plattformen.
Ansonsten soll die App die Daten alle lokal auf dem Endgerät des Nutzers belassen. Weitergehende Datensammlung über den durch die Drohnenfunktionen zu erwartenden Rahmen konnte in diesem Zusammenhang nicht identifiziert werden.
Das gilt auch für die Übertragung von Daten in den Cloud-Dienst von Parrot. Hier wurden lediglich Flugprotokolle übermittelt, sofern der Drohnenpilot dieses eingewilligt hat. Aufnahmen der Drohne selbst werden laut Bishop Fox nicht an Parrot übertragen. Außerdem sollen die Analysten erfolgreich überprüft haben, dass an Parrot übertragende Daten auf Anfrage auch tatsächlich wieder aus dem Cloudspeicher entfernt werden.
Parrot ANAFI Drohnen ansehen!*
Keine Zwangsupdates, wenige Sicherheitsrisiken
Ein Punkt der DJI viel Kritik im Rahmen eines veröffentlichten Analyseberichtes einbrachte, war eine Updatemechanismus für Apps, der die Installation von App-Inhalten aus einer dritten Quelle erlaubte. Dieses Vorgehen setzt DJI ein, um seine Apps auch in Ländern zur Verfügung zu stellen, an denen es keine offiziellen App-Stores gibt. In einem solchen Szenario hat der Nutzer jedoch keine Kontrolle über die eingespielten Inhalte, was als potenzielle Gefahr betrachtet werden kann.
So wundert es nicht, dass Parrot bei seinem durch Bishop Fox durchgeführten Audit explizit darauf hinweist, dass die FreeFlight 6 App lediglich über die offiziellen Quellen bei Apple und Google installierbar ist. Außerdem wurde verifiziert, dass der hier bereitgestellte Quellcode genau dem erwarteten Quellcode entspricht (Kommentar: Alles andere wäre auch schwer beunruhigend gewesen).
Die Analyse identifizierte auch einige Risiken, die mit der Konfigurationsverschlüsselung und dem Auslaufen von Autorisierungstoken, der Erkennung von Root- und Jailbreaks und dem Pinning von Zertifikaten in Zusammenhang stehen. Einige dieser identifizierten Risiken sollen mit dem anstehenden Update behoben werden. Keine der Schwachstellen soll laut Bishop Fox die Privatsphäre oder Sicherheit der Benutzer beeinträchtigt.
Den vollständigen Analysebericht mit alle Details könnt ihr bei Interesse hier einsehen.
Quelle: Parrot
Sie sagen dass „Der chinesischen Drohnenhersteller steht seit Längerem im negativen Fokus in Bezug auf die Datenverwendung seiner Produkte und sieht sich mit verschiedenen Anschuldigungen konfrontiert, von denen bisher jedoch keine wirklich stichhaltig belegt werden konnte“. Es ist falsch, Computersicherheit Experten Synacktiv und GRIMM haben Beweise gegeben.
Hallo Matt,
danke für den Kommentar. Die Berichte von GRIMM und Synacktiv sind ja bereits in anderen Artikeln von uns verlinkt. In den Berichten sind sehr wohl potenzielle Sicherheitslücken dokumentiert, vollkommen richtig. Dass diese aktiv ausgenutzt wurden, ist nach meinem Wissensstand aber bisher nicht belegt oder bekannt – darauf bezog sich der zitierte Satz.
Ohne Frage haben die beiden Reports DJI aber zum Handeln bewegt, was in diesem Punkte in jedem Fall positiv für die Anwender / Benutzer ist. Datensicherheit und Datenschutz bei Drohnen in den Fokus zu stellen ist auch aus unserer Sicht absolut erstrebenswert.
Viele Grüße,
Nils
Die Analyse zeigt, dass die DJI-Software seit Jahren personenbezogene Daten aller Benutzer an MobTech sendet