Danny Weber
Een onafhankelijke audit van DJI's Air 3S en Matrice 4E door OnDefend vond geen kritieke, hoge of middelzware beveiligingsproblemen. Lees de details.
DJI heeft de resultaten gepubliceerd van een onafhankelijke beveiligingsaudit uitgevoerd door het Amerikaanse bedrijf OnDefend. Gedurende vijf maanden analyseerden specialisten de consumentendrone DJI Air 3S en het bedrijfsmodel Matrice 4E. Ze vonden geen kritieke, hoge of middelzware problemen. De audit bracht ook geen verborgen achterdeuren, malware, datatransmissie buiten de VS of succesvolle hackpogingen aan het licht.
De audit vindt plaats tegen de achtergrond van DJI's aanhoudende conflict met Amerikaanse toezichthouders. Het bedrijf vecht een FCC-beslissing aan die certificering van nieuwe buitenlandse drones voor de Amerikaanse markt effectief blokkeert. DJI stelt dat het door deze beperkingen jaarlijks ongeveer 1,56 miljard dollar kan verliezen, en dat sommige geplande producten mogelijk nooit de Amerikaanse markt zullen bereiken.
OnDefend onderzocht de drones op verschillende gebieden: software, firmware, hardware en radiofrequentiekanalen. Het team voerde simulaties van man-in-the-middle-aanvallen uit, fysieke demontage van de apparaten en componentanalyse. Opvallend is dat het bedrijf de testeenheden onafhankelijk aanschafte: de Air 3S in de detailhandel en de Matrice 4E uit de dealerinventaris, zonder enige betrokkenheid van DJI bij de selectie van de specifieke apparaten.
Toch was de audit niet volledig vlekkeloos. Experts vonden 10 laagrisicoproblemen, waaronder zwakke TLS-protocollen in de bijbehorende app en authenticatietokens in URL's. OnDefend omschreef deze problemen als typisch voor complexe ingebedde systemen, en DJI zegt ze via firmware-updates te verhelpen. De auditors benadrukten dat de controle alleen de staat van deze twee modellen op een specifiek moment weergeeft en niet de voortdurende tests van toekomstige updates vervangt.
De keuze voor OnDefend is ook vermeldenswaardig. Hetzelfde bedrijf werd eerder aangesteld als een van TikTok's onafhankelijke beveiligingsinspecteurs in de VS. Het heeft nu dus twee Chinese techbedrijven geaudit die onder druk staan van Amerikaanse autoriteiten vanwege nationale veiligheidszorgen. DJI's audit werd echter in opdracht en betaald door het bedrijf zelf, wat het onderscheidt van een volledige beoordeling onder federaal toezicht.
Voor DJI bieden de auditresultaten een argument tegen de beperkingen, maar ze zullen de politieke en regelgevingsvragen waarschijnlijk niet volledig oplossen. Het bedrijf heeft in de rechtbank al betoogd dat de FCC-maatregelen in strijd zijn met de Amerikaanse grondwet. In stukken uit april meldde het de intrekking van vergunningen voor 14 bestaande producten en het niet kunnen lanceren van 25 geplande apparaten. Tegen deze achtergrond is de export van civiele drones van China naar de VS sinds december al met 60–70 procent op jaarbasis gedaald, volgens Nikkei Asia.
© A. Krivonosov