Danny Weber
L'audit di sicurezza su DJI Air 3S e Matrice 4E esclude vulnerabilità critiche e backdoor. Dieci problemi a bassa gravità sono in fase di risoluzione. Scopri di più.
DJI ha reso noti i risultati di un audit di sicurezza indipendente condotto dalla società statunitense OnDefend. Nel corso di cinque mesi, gli specialisti hanno analizzato il drone consumer Air 3S e il modello enterprise Matrice 4E. Non sono emersi problemi di gravità critica, alta o media. L'audit non ha nemmeno evidenziato backdoor nascoste, malware, trasmissione di dati all'estero o tentativi di hacking riusciti.
L'indagine si inserisce nel conflitto tra DJI e le autorità regolatorie statunitensi. L'azienda contesta una decisione della FCC che di fatto impedisce la certificazione di nuovi droni stranieri per il mercato americano. DJI sostiene di rischiare una perdita annua di circa 1,56 miliardi di dollari a causa di queste restrizioni, e alcuni prodotti in fase di sviluppo potrebbero non arrivare mai negli Stati Uniti.
OnDefend ha analizzato i droni su più fronti: software, firmware, hardware e canali radio. I tecnici hanno effettuato simulazioni di attacchi man-in-the-middle, smontato fisicamente i dispositivi e analizzato i componenti. È importante notare che i droni sono stati acquistati in modo indipendente: l'Air 3S al dettaglio e la Matrice 4E da un rivenditore, senza che DJI potesse influenzare la scelta dei singoli esemplari.
Non tutto è filato liscio, però. Sono emersi dieci problemi a bassa gravità, tra cui protocolli TLS deboli nell'applicazione companion e token di autenticazione negli URL. OnDefend li ha definiti tipici per sistemi embedded complessi, e DJI ha assicurato di starli correggendo con aggiornamenti del firmware. I revisori hanno precisato che l'analisi riguarda solo lo stato di questi due modelli in un momento preciso e non sostituisce i test continui sugli aggiornamenti futuri.
La scelta di OnDefend merita attenzione. La stessa società era già stata designata come uno degli ispettori di sicurezza indipendenti di TikTok negli Stati Uniti. Ora ha dunque esaminato due aziende tecnologiche cinesi finite nel mirino delle autorità statunitensi per motivi di sicurezza nazionale. Va però sottolineato che l'audit di DJI è stato commissionato e pagato dall'azienda stessa, cosa che lo distingue da una revisione completa sotto supervisione federale.
Per DJI i risultati dell'audit rappresentano un argomento a favore contro le restrizioni, ma difficilmente basteranno a risolvere le questioni politiche e normative. L'azienda ha già sostenuto in tribunale che le misure della FCC violano la Costituzione statunitense. In documenti depositati ad aprile, ha denunciato la revoca delle autorizzazioni per 14 prodotti già in commercio e l'impossibilità di lanciare 25 dispositivi previsti. In questo scenario, le esportazioni di droni civili dalla Cina verso gli Stati Uniti sono già calate del 60-70% su base annua da dicembre, secondo Nikkei Asia.
© A. Krivonosov