Ein neuer, unabhängiger Report geht abermals auf die Vorwürfe ein, DJI Drohnen würden Daten nach China oder an andere Dritte übertragen. In dem durch PrecisionHawk in Auftrag gegebene Report wurden keine Datenabflüsse entdeckt.
Seit dem Beginn des Handelskrieges zwischen China und den USA geriet auch DJI als Weltmarktführer im zivilen Drohnenmarkt zwischen die Fronten. Eine Veröffentlichung des Department of Homeland Security unterstellte DJI, dass die Drohnen Daten sammeln und an die chinesische Regierung weiterleiten würden.
DJI selbst widersprach diesen Vorwürfen wiederholt und legte sogar eigene Auditberichte vor. Trotzdem kam es letztendlich dazu, dass mehrere US-Behörden ihre DJI Drohnenflotten deaktivieren mussten.
Report findet keine unerwarteten Datentransfer
Das US-Unternehmen PrecisionHawk berät unter anderem Behörden und andere Regierungskunden bei der Planung und dem Einsatz von Drohnen.
Nun hat der Drohnenspezialist zusammen mit der bekannten Security-Beratung Booz Allen Hamilton eine ausführliche Untersuchung verschiedener DJI Drohnen gestartet, die für den Einsatz im industriellen und behördlichen Umfeld gedacht sind.
Getestet wurden auch zwei Drohnen mit der so genannten Government Edition Firmware, die DJI als eine von mehren Reaktionen auf die Vorwürfe auf den Markt gebracht hat. Diese Spezialversion ermöglicht es Regierungen die Software der Drohnen selbst zu prüfen. Außerdem kommt standardmäßig eine Verschlüsselung zum Einsatz.
Die Experten versuchten die Drohnen dabei mit verschiedensten Szenarien anzugreifen, um an Daten zu gelangen. Datentransfers an DJI, nach China oder an andere unerwartete Dritte wurden auch bei dieser Überprüfung zu keinem Zeitpunkt festgestellt.
Die Test wurden dabei mit DJI’s Government Edition Mavic Pro und Matrice 600 Pro sowie der Mavic 2 Enterprise durchgeführt.
Kleinere Schwachstellen offen gelegt
Der Report zeigt relativ deutlich, dass ein erfolgreiches Abziehen von Daten von den genannten Drohnen nur in direkter physikalischer Nähe realistisch möglich ist. Dazu benötigt der Angreifer in fast allen Szenarien direkten Zugriff auf die Drohne selbst.
Die einzige externe Verbindung über das Internet erfolgt bei der Verwendung der Karten-Funktion. Hierbei wird natürlich Material von Servern von Google und teilweise Amazon AWS geladen. Das ist aber keine Überraschung und dürfte bei jeder Drohne, egal welches Herstellers, genau so passieren, wenn auf Live-Kartenmaterial zugegriffen wird.
DJI hat in einem Statement bereits sehr positiv auf den neuen Report von PrecisionHawk reagiert und mitgeteilt, dass einige der gefundenen Schwachstellen bereits geschlossen wurden und andere zurzeit bearbeitet werden.
So wurde beispielsweise der Verschlüsselungsalgorithmus der Mavic 2 Enterprise auf ein aktuelleres AES 256 Bit Verfahren aktualisiert.
Kunden von den genannten Drohnen dürfen sich daher wohl also in den kommenden Monaten über Updates für noch mehr Sicherheit freuen.
Quelle: PrecisionHawk, DJI