Danny Weber
DJI:n droonien riippumaton tietoturvatarkastus ei löytänyt kriittisiä, korkean eikä keskiriskin ongelmia. Havaittiin kymmenen matalan riskin ongelmaa, jotka korjataan päivityksillä.
DJI on julkistanut riippumattoman tietoturvatarkastuksen tulokset. Yhdysvaltalainen OnDefend analysoi viiden kuukauden ajan kuluttajadroonia DJI Air 3S ja yrityskäyttöön tarkoitettua Matrice 4E -mallia. Tarkastuksessa ei löydetty kriittisiä, korkean eikä keskiriskin ongelmia. Myöskään piilotettuja takaovia, haittaohjelmia, tietovuotoja Yhdysvaltojen ulkopuolelle tai onnistuneita hakkerointeja ei havaittu.
Tarkastus ajoittuu DJI:n ja Yhdysvaltain sääntelyviranomaisten väliseen kiistaan. Yhtiö taistelee FCC:n päätöstä vastaan, joka estää uusien ulkomaisten droonien sertifioinnin Yhdysvaltain markkinoille. DJI:n mukaan rajoitukset voivat viedä siltä noin 1,56 miljardia dollaria vuodessa, ja osa suunnitelluista tuotteista saattaa jäädä kokonaan pois Yhdysvaltain markkinoilta.
OnDefend tutki droonien ohjelmistoja, laiteohjelmistoja, laitteistoa ja radiotaajuuskanavia. Tiimi simuloi man-in-the-middle-hyökkäyksiä, purki laitteita fyysisesti ja analysoi komponentteja. Yritys osti testikappaleet itse: Air 3S vähittäismyynnistä ja Matrice 4E jälleenmyyntivarastosta, eikä DJI vaikuttanut laitteiden valintaan.
Kaikki ei kuitenkaan ollut täysin puhdasta. Asiantuntijat löysivät kymmenen matalan riskin ongelmaa. Näitä olivat heikot TLS-protokollat seurantasovelluksessa ja autentikointitokenit URL-osoitteissa. OnDefend luonnehti ongelmia tyypillisiksi monimutkaisille sulautetuille järjestelmille, ja DJI kertoi korjaavansa ne laiteohjelmistopäivityksillä. Tarkastajat muistuttivat, että tulokset koskevat vain kahta mallia tiettynä ajankohtana eivätkä korvaa tulevien päivitysten jatkuvaa testausta.
OnDefend on aiemmin toiminut TikTokin riippumattomana tietoturvatarkastajana Yhdysvalloissa. Nyt sama yritys tarkasti kaksi kiinalaista teknologiayritystä, jotka ovat Yhdysvaltain viranomaisten paineen alla kansalliseen turvallisuuteen liittyvistä syistä. Toisin kuin liittovaltion valvonnassa tehty täysi tarkastus, DJI tilasi ja maksoi tämän tarkastuksen itse.
DJI:lle tulokset tarjoavat perusteluja rajoituksia vastaan, mutta ne tuskin ratkaisevat kaikkia poliittisia ja sääntelykysymyksiä. Yhtiö on jo vedonnut oikeuteen, että FCC:n toimet rikkovat Yhdysvaltain perustuslakia. Huhtikuussa jätetyissä asiakirjoissa DJI ilmoitti 14 nykyisen tuotteen lupien peruuntuneen ja 25 suunnitellun laitteen lanseerauksen estyneen. Nikkei Asian mukaan siviilidroonien vienti Kiinasta Yhdysvaltoihin on laskenut 60–70 prosenttia edellisvuodesta joulukuusta lähtien.
© A. Krivonosov