Die New York Times hat einen Artikel veröffentlicht, der über eine neue Sicherheitslücke im Ökosystem von DJI berichtet. Angeblich sollen nur Android Geräte betroffen sein. Damit gerät DJI erneut mit negativen Schlagzeilen in die US-Presse.
Der Drohnenhersteller DJI ist seit 2017 mit schwierigen Vorwürfen der US-Regierung konfrontiert, die dem Weltmarktführer unterstellen, seine Drohnen würden Daten sammeln und an die chinesische Regierung weitergeben. DJI hat bisher allen diesen Vorwürfen vehement widersprochen.
Während es in den letzten Monaten relativ ruhig um das Thema war und eine unabhängige Untersuchung DJI Drohnen sogar ein gutes Sicherheitszeugnis ausstellte, kommt der neuste Bericht der NY Times mit weiteren schlechten Neuigkeiten daher.
DJI App soll ohne Wissen des Nutzers veränderbar sein
Der nun erschienene Artikel in dem US-Nachrichtenmagazin bezieht sich auf eine Untersuchung des IT-Sicherheits-Dienstleisters Synacktiv aus Frankreich sowie einer Analyse des US-Unternehmens GRIMM.
Ziel der Untersuchung war die DJI Go 4 App, die nach wie vor für die meisten DJI Drohnen im Consumer-Segment Verwendung findet. Die App wird unter anderem zur Steuerung der DJI Mavic, Mavic Air, Mavic 2, Spark und Phantom 4 Serie verwendet und dürfte damit aktuell immer noch den größten Anteil im Consumer-Segment ausmachen.
Für seine neuen Drohnen der Mavic Air 2 und Mavic Mini Serie stellt DJI seine Fly App zur Verfügung, die nicht Gegenstand der Untersuchung war.
Konkret geht es bei der gefunden Sicherheitslücke um eine automatische Update-Funktion der DJI Go 4 App im Android-Ökosystem. Die DJI zwingt den Nutzer teilweise zur Aktualisierung der App. DJI begründet dieses Schritt unteranderem damit, sicherzustellen, dass keine veränderten / modifizierten Versionen der DJI Go 4 von Nutzern verwendet werden können, um beispielsweise die gesperrten Geo Fencing Bereiche illegal auszuhebeln.
In den Augen der Urheber der neuen Analyse liegt das Problem bei diesem Vorgehen vor allem darin, dass DJI in diesem Moment das Update direkt von einem dritten Server einspielt. Damit umgeht die App beim Update den Google Play Store und das verbundene Audit des Codes durch Google. Es wird an dieser Stelle bemängelt, dass kein Nutzer weiß, welche Inhalte / Veränderungen genau mit der neuen Version eingespielt werden.
DJI Go 4 App soll persönliche Daten sammeln
Um diesen direkten Update-Prozesse zu ermöglichen, setzt DJI auf ein Framework namens Weibo das von einem externen Anbieter bereitgestellt wird.
Außerdem behaupten die Berichte, dass vor der Nutzung von Weibo ein chinesischer Dienst names Mob SDK zum Einsatz kam, der auch Daten wie IMSI, IMEI, und die Seriennummer von SIM-Karten übertragen und gesammelt hat. Seit DJI Go 4 v4.3.36 kommt Mob SDK jedoch nicht mehr zum Einsatz.
Außerdem gibt der Report an, dass selbst bei einem Schließen der Go 4 App durch eine „Wischgeste nach Rechts“ weiterhin Telemetriedaten bei geschlossener DJI Go 4 App übermittel werden soll.
Beide Analysen warnen davor, dass mit einer boshaft veränderten App, die über den automatischen Update-Mechanismus ausgespielt würde, breiter Zugriff auf das Telefon des Nutzers besteht. Die DJI Go 4 App verlangt unter Android mit unter Zugriff auf Kontakte, Mikrofon, Kamera, Standort, Dateispeicher und kann auch die Netzwerkeinstellungen ändern. Im Regelbetrieb werden diese Funktionen natürlich zur Steuerung der Drohne verwendet.
China’s Android Problem
In dem Kontext muss unbedingt die aktuelle Situation in China in Zusammenhang mit Android Telefonen erwähnt werden. Während der Apple App Store direkt in China zugänglich ist und Apple somit auch hier seine Software-Audits durchführen kann, bevor eine App veröffentlicht wird, ist Google in China nicht offiziell am Markt.
Zumindest nicht, wenn es um das Thema Google Play Store gibt. Damit Unternehmen ihre Apps für Android irgendwie auf die Telefone der Nutzer bekommen, ist es also grundsätzlich nicht ungewöhnlich, dass kreative Workarounds parallel zur offiziellen Version im Google Play Store bereitstehen. DJI bietet seine APK-Dateien (Google Android Apps) wohl auch aus diesem Grund direkt auf seiner Website zum direkten Download an.
In diesem Zusammenhang überrascht es auch nicht, dass eine entsprechende Funktion für die iOS-Variante der App nicht gefunden werden konnte.
Aktuell steht eine Stellungnahme von DJI noch aus. Das ausgerechnet ein französisches Unternehmen Urheber der neuen Studie ist, ist in Anbetracht der erst kürzlich erfolgten Vorstellung ANAFI USA Drohne durch den französischen Drohnenhersteller Parrot mindestens erwähnenswert. Bereits während des Launch-Events kam sogar das Mobtech SDK zur Sprache.
Quelle: NY Times, Synacktiv, Grimm
Update 25.7.2020: DJI hat sich nun auch offiziell zu dem Bericht geäußert. Die gesamte Stellungnahme findet ihr hier.