DJI уверяла в шифровании сигналов AeroScope для дронов, но теперь признала, что это не так
В марте вице-премьер-министр Украины Михаил Федоров заявлял, что DJI помогает россии убивать украинцев. В системе слежения за дронами DJI AeroScope обнаружили уязвимость, которая позволяла узнавать точное местоположение украинских операторов, что позволяло направлять на них огонь артиллерии.
Затем DJI объявила о прекращении всех поставок продукции и всей послепродажной поддержки как для россии, так и для Украины.
The Verge попыталось разобраться, что на самом деле представляет собой эта функция и что DJI делает для предотвращения гибели людей. Но хакер Кевин Финистерре определил, что информация DJI не была правдива относительно шифрования сигнала.
Журналисты, когда проводили расследование, запрашивали официальную информацию у DJI, и представитель компании Адам Лисберг вместе с экспертом по криминалистике дронов Дэвид Ковар уверяли, что сигналы шифруются. И когда хакер обнаружил, что это не так, The Verge снова обратилось к DJI. И только месяц спустя компания признала, что это неправда.
Long story short it means that @adamlisberg needs to provide an updated comment to @StarFire2258 stating that his engineering staff misspoke & that @DJIFlySafe @DJIEnterprise @djiglobal @djisupport #AeroScope #DroneID #RemoteID packets are NOT *encrypted*. https://t.co/7y9xodwIoh pic.twitter.com/FJn1a2QZyV
— KF (@d0tslash) April 19, 2022
Лисберг из DJI признал, что не исследовал этот вопрос, а лишь обращался в китайский офис, где его заверили в шифровании. И лишь вмешательство старших менеджеров позволило поставить точку в этом вопросе.
The Verge добавляет, что отсутствие шифрования неудивительно: DJI создавала Drone ID (теперь так называется AeroScope) как технологию для использования другими производителями дронов. Правительства, в том числе и США, планировали обязать к 2023 году передавать физическое местоположение операторов дронов.
Сейчас нет никаких обновлений для AeroScope, что до сих пор может говорить о возможном отслеживании операторов. DJI может отозвать сертификат AeroScope, чтобы отключить функцию, но это повлияет только на стационарные устройства, подключенные к собственным серверам AWS. Но Финистерре еще в 2017 году заявлял, что у DJI есть программы Sentinel и Supervisor, которые занимаются сбором данных о пользователях. Компания это отрицала, заявляя, что теоретически может делать целевую рекламу при помощи отслеживания.
Финистерре также указал, что у DJI был способ отключать сигналы AeroScope удаленно. Похоже, что все еще существует способ отправки команд дрону, чтобы скрыть координаты пилота.
Две крупнейшие нидерландские интернет-площадки – MediaMarkt и bol.com – приостановили продажу дронов китайского бренда DJI из-за подозрений в помощи россии.