Dichiarazione DJI su ulteriori affermazioni fuorvianti della sicurezza delle app

Il rapporto di oggi della società di sicurezza digitale Synacktiv sul software DJI include ulteriori inesattezze e dichiarazioni fuorvianti su come funzionano i suoi prodotti, a seguito di rapporti simili da parte loro della scorsa settimana. Vogliamo chiarire che i prodotti DJI proteggono i dati degli utenti; che DJI, come la maggior parte delle società di software, aggiorna continuamente i prodotti man mano che vengono alla luce vulnerabilità reali e percepite; e che non vi è alcuna prova che una qualsiasi delle ipotetiche vulnerabilità segnalate da Synacktiv sia mai stata sfruttata. In questo post, ci occupiamo del nuovo rapporto di Synacktiv.

False affermazioni di Synacktiv relative a Weibo SDK

L’app DJI Pilot per Android disponibile sia dal sito Web DJI che dal Google Play Store non integra un kit di sviluppo software (SDK) per connettersi con Weibo. Questa affermazione di Synacktiv è falsa. In effetti, nessuna versione dell’app DJI Pilot ha alcuna funzione per consentire agli utenti di condividere dati su Weibo.

Reclami fuorvianti di Synacktiv in merito agli aggiornamenti automatici del DJI Pilot

L’app DJI Pilot per Android disponibile su Google Play Store aggiorna solo le versioni ufficiali scaricate da Google Play Store. All’utente viene richiesto di eseguire l’aggiornamento in una finestra pop-up e l’app non verrà aggiornata a meno che l’utente non accetti. Per i clienti che gestiscono i prodotti DJI in paesi in cui Google Play Store non è disponibile, le app e gli aggiornamenti delle app vengono resi disponibili sul sito Web di DJI. Il titolo, il riepilogo e la prima metà del rapporto di Synacktiv sono intenzionalmente fuorvianti perché non notano che questo meccanismo è limitato alla versione del sito Web dell’app DJI Pilot e non influisce su chiunque ottenga l’app DJI Pilot da Google Play Store.

La comprensione incompleta del Sistema Geofencing di DJI

L’app DJI Pilot include una funzione chiamata Local Data Mode che consente all’utente di interrompere la connessione a Internet non appena l’impostazione è attivata nell’app. Oltre a migliorare la garanzia della sicurezza dei dati, questa funzione blocca la capacità del drone di aggiornare le restrizioni di sicurezza del volo e blocca la capacità dell’utente di “sbloccare” alcune aree geografiche. Tuttavia, Synacktiv sembra fraintendere la funzione del Sistema di sicurezza Geofencing di DJI e i molti altri metodi disponibili per i clienti di sbloccare. Ad esempio, le agenzie governative possono partecipare al Qualified Entities Program di DJI che sblocca l’intera regione richiesta, senza la necessità di connettersi a Internet dopo l’attivazione iniziale. Inoltre, i droni DJI Government Edition non hanno alcun Geofencing. Gli utenti DJI comprendono queste limitazioni e pianificano in anticipo quando e come sbloccare le restrizioni di volo del Geofencing, se necessario.

Come per gli aggiornamenti automatici, queste funzionalità sono implementate per scopi a beneficio del pubblico migliorando la sicurezza dello spazio aereo durante l’uso dei prodotti DJI. L’importante ruolo di sicurezza del Geofencing è stato riconosciuto dal Comitato consultivo sui droni della Federal Aviation Administration (FAA) degli Stati Uniti; l’Airports International Council-Nord America e l’Associazione per i sistemi di veicoli senza pilota internazionale Blue Ribbon Task Force sulla mitigazione aeroportuale; e il team Unmanned Aircraft Safety Team dell’industria FAA. Nessun’altra azienda ha fatto tanto quanto DJI per migliorare in modo proattivo la sicurezza delle operazioni con i droni. DJI è costernata dal fatto che le caratteristiche di sicurezza siano state nuovamente fraintese e fraintese come ipotetiche minacce alla sicurezza da ricercatori che evidentemente non hanno familiarità con il funzionamento della tecnologia dei droni.

DJI ha risolto immediatamente i problemi segnalati in precedenza

Mentre il rapporto iniziale esagerato e fuorviante di Synacktiv sulla sicurezza è stato citato sul New York Times, un esame serio del loro lavoro mostra che non è all’altezza. DJI ha prontamente aggiornato l’app Android DJI GO 4 il 31 luglio per rispondere alle precedenti ipotetiche preoccupazioni rilevate da Synacktiv sull’app DJI GO 4, rimuovendo Weibo SDK e dirigendo gli aggiornamenti automatici relativi alla sicurezza al Google Play Store piuttosto che al sito Web DJI.

DJI rimane l’unico produttore di droni ad avere i suoi prodotti valutati con successo in rapporti pubblicamente disponibili da più istituzioni governative e private indipendenti. DJI rimane anche l’unico produttore di droni ad aver creato un programma Bug Bounty per sollecitare attivamente la divulgazione responsabile delle vulnerabilità della sicurezza e ricompensare i ricercatori che le trovano.

Per ulteriori dettagli sulle solide protezioni di sicurezza di DJI, fare riferimento alla risposta di DJI alle accuse originali a questo link: https://www.dji.com/newsroom/news/dji-statement-on-recent-reports-from-security-researchers