Danny Weber
Nezávislý bezpečnostní audit dronů DJI (Air 3S a Matrice 4E) nenašel žádná kritická ani střední rizika. Pouze 10 nízko rizikových problémů. Čtěte dále.
Společnost DJI zveřejnila výsledky nezávislého bezpečnostního auditu, který provedla americká firma OnDefend. Během pěti měsíců odborníci analyzovali spotřebitelský dron DJI Air 3S a podnikový model Matrice 4E. Nezjistili přitom žádné kritické, vysoké ani středně závažné problémy. Audit neodhalil žádná skrytá zadní vrátka, malware, přenos dat mimo USA ani úspěšné pokusy o hacknutí.
Audit přichází v době, kdy DJI čelí konfliktu s americkými regulátory. Firma napadá rozhodnutí FCC, které v podstatě blokuje certifikaci nových zahraničních dronů na americkém trhu. DJI uvádí, že kvůli těmto omezením může ročně přijít až o 1,56 miliardy dolarů a některé plánované produkty se na americký trh možná nikdy nedostanou.
OnDefend prověřil drony z hlediska softwaru, firmwaru, hardwaru a rádiových frekvencí. Tým provedl simulace útoků man-in-the-middle, fyzicky zařízení rozebral a analyzoval jednotlivé komponenty. Důležité je, že testovací kusy firma nakoupila nezávisle – Air 3S v maloobchodě a Matrice 4E u dealera, přičemž DJI neměla na výběr konkrétních zařízení žádný vliv.
Audit ale nebyl bez chyby. Odborníci odhalili deset nízko rizikových problémů, například slabé TLS protokoly v průvodní aplikaci a autentizační tokeny v URL. OnDefend tyto problémy označil za typické pro složité vestavěné systémy a DJI uvedla, že je řeší pomocí aktualizací firmwaru. Auditoři upozornili, že kontrola zachycuje pouze stav těchto dvou modelů v daném okamžiku a nenahrazuje průběžné testování budoucích aktualizací.
Zajímavá je také volba společnosti OnDefend. Stejná firma byla dříve jmenována jedním z nezávislých bezpečnostních inspektorů TikTok v USA. Nyní tak auditovala dvě čínské technologické společnosti, které jsou pod tlakem amerických úřadů kvůli obavám o národní bezpečnost. Audit si však nechala udělat a zaplatila sama DJI, což se liší od úplné kontroly pod federálním dohledem.
Výsledky auditu dávají DJI argument proti omezením, ale politické a regulační otázky zcela nevyřeší. Firma už u soudu namítala, že postup FCC porušuje americkou ústavu. V dubnových podáních uvedla, že jí byla odebrána povolení pro 14 stávajících produktů a že nemůže uvést na trh 25 plánovaných zařízení. V této souvislosti vývoz civilních dronů z Číny do USA od prosince meziročně klesl o 60 až 70 procent, jak uvádí Nikkei Asia.
© A. Krivonosov