Entonces, no mucho después de las acusaciones de que la versión de Android de la popular aplicación Go 4 de DJI podría tener algunos problemas de seguridad, hay una nueva afirmación de que la aplicación piloto de DJI, destinada a usuarios empresariales profesionales, puede compartir problemas similares. DJI ha vuelto a disparar, diciendo que la aplicación lo hace no tener alguno de estos problemas. Una firma de relaciones públicas empujó las últimas acusaciones a los sitios web de Drone News. Y eso … plantea algunas preguntas propias.
El 23 de julio, se supo que podría haber un problema con la aplicación DJI Go 4. El New York Times Escribió una historia, basada en la investigación de dos empresas, que sugirió que podría haber algunas cosas extrañas con la versión Android de DJI GO 4. Gran parte de eso parecía estar relacionada con las aplicaciones chinas de terceros que podían obtener algunos datos personales. DJI defendió su software, y dijo que sus propios ingenieros no habían podido replicar al menos uno de los comportamientos que los investigadores habían observado: la aplicación reiniciar y actualizar por su propia cuenta y sin el conocimiento del usuario.
El trabajo inicial fue realizado por dos empresas: Synacktiv de Francia y Grimm con sede en Washington. Ahora, Synacktiv ha publicado algunos hallazgos nuevos sobre la aplicación DJI Pilot en su blog. Específicamente, el blog contiene las siguientes balas, que citamos:
- «La aplicación piloto DJI profesional está protegida utilizando el mismo empacador que la aplicación DJI GO 4 de grado de consumo»
- «La aplicación piloto DJI profesional incluye el mismo mecanismo de actualización forzada que la presente en sus aplicaciones de grado de consumo»
- «El modo de datos local ‘fuera de línea’ requiere una conexión a Internet para instalar certificados de desbloqueo»
Respuesta de DJI
DJI ha preparado históricamente declaraciones que ofrecen refutaciones detalladas de tales acusaciones. Hoy, DJI dijo que sus ingenieros habían sido notificados sobre las preocupaciones de Synacktiv y que publicaría una declaración más adelante. Obviamente actualizaremos esta historia cuando escuchemos algo.
Actualización: DJI responde
Aproximadamente 15 horas después de que se difundieron las acusaciones, DJI había preparado su propia declaración de refutación. Establece que los hallazgos de Synacktiv son falsos:
El informe de hoy de la firma de seguridad digital de Synacktiv sobre el software DJI incluye inexactitudes adicionales y declaraciones engañosas sobre cómo funcionan nuestros productos, siguiendo informes similares de ellos la semana pasada. Queremos dejar en claro que los productos de DJI protegen los datos del usuario; que DJI, como la mayoría de las compañías de software, actualiza continuamente los productos como vulnerabilidades reales y percibidas salen a la luz; y que no hay evidencia de que alguna de las vulnerabilidades hipotéticas reportadas por Synacktiv haya sido explotada. En esta publicación, abordamos el nuevo informe de Synacktiv.
Declaración de DJI
Como parte de nuestra cobertura continua, y reflejando que los desarrollos están ocurriendo durante dos días, hemos publicado la declaración de DJI con pleno detalle aquí.
Pero cuando vimos las preocupaciones planteadas en el informe inicial de Synacktiv, nos preguntamos qué tan graves eran estas preocupaciones. ¿Estos problemas plantearon un problema de seguridad importante? Otros que leen nuestra cobertura se sintieron de la misma manera. Aquí hay dos comentarios que los usuarios publicaron con la historia:
Lo que quiero ver que alguien haga es encontrar la aplicación DJI en su teléfono, haga una conexión a un servidor y transmita datos a ese servidor. Si no pueden demostrar esto, entonces todo su charla sobre «posiblemente» recolectando datos o el gobierno chino que recibe su información significa sentadillas. No creo que veremos esto porque no está sucediendo. DJI también tiene demasiado (sic) perder para correr ese riesgo. Mucho más fácil de lanzar acusaciones vagas y dejar que las personas salten a sus propias conclusiones.
Usuario de disqus foheng
Ese no fue el único usuario que cuestionó si Synacktiv había encontrado constituía algo serio:
En general, creo que sus hallazgos indican un desprecio total por la privacidad, no creo que necesariamente signifique que haya alguna intención maliciosa; Hay bastantes aplicaciones de Android de alto perfil (incluida la propia aplicación de NYTimes) que se han llamado para obtener datos de usuario. El problema casi siempre se encuentra en los SDK de terceros de seguimiento de los Servicios de seguimiento en lugar del código de la aplicación en sí.
El usuario de Disqus Bob Dole
El miedo
La preocupación es que el gobierno chino podría solicitar de alguna manera todos y cada uno de los datos de DJI. De hecho, las variaciones de la siguiente frase, también colocadas como un comentario en nuestro sitio, han aparecido en otros sitios. Te hace preguntarte si la gente solo está copiando y pegando esta frase, o si es parte de una campaña más orquestada:
La ley china requiere que todas las empresas de tecnología china proporcionen información que obtengan, o información almacenada en sus redes, a las autoridades chinas si se le solicita que lo haga. Todos los estadounidenses deben preocuparse de que sus imágenes, biométricos, datos de ubicación y otros datos almacenados en aplicaciones chinas deben entregarse al aparato de seguridad del estado de China.
Eoaoos de usuario de Disqus
talón de Aquiles
Desde que se ha planteado que la tecnología no estadounidense podría plantear preocupaciones de seguridad (con un énfasis particular en China), se siente un poco como si hubiera sido una temporada abierta en DJI. Hemos visto algunas excavaciones bastante puntiagudas hechas por Parrot antes de anunciar su modelo de ANAFI USA. Esa nueva línea de drones va directamente después de algunos de los clientes empresariales de DJI, y el marketing se centra en gran medida en su patrimonio «hecho en los Estados Unidos». También utilizó estas promociones como parte de la acumulación de su lanzamiento:
Las acusaciones obligan a DJI a una postura defensiva, teniendo que abordar o negar todas y cada una de las acusaciones. La óptica de eso no es buena, y es probable que sean un gran dolor para DJI. Sin embargo, más que eso es que tales declaraciones dejan una mancha que es difícil de limpiar. Cuando miras el panorama general, comienza a sentirse un poco como si los acontecimientos colectivos puedan ser parte de un intento deliberado de dañar la reputación de la compañía. Es un poco como cuando alguien está acusado de un crimen importante, pero luego se descubre que es inocente: algunos siempre se preguntarán si no solo se «alejarán».
¿Quién está detrás de él?
Los drones son grandes negocios. Y los drones empresariales, que son más caros que los drones de consumo, tienen cada vez más demanda. DJI ha sido históricamente el producto de elección en este sector. Por lo tanto, sería ventajoso que un competidor ayude a la nómina de estos estudios y también ayude a difundir los resultados. También sería de interés de cualquier compañía contratada para encontrar problemas … para señalar cada problema que pueda encontrar.
¿Eso es lo que está pasando aquí? No podemos decir con certeza. Pero nuestro sentido de Spidey hormiguea cuando recibimos noticias de la publicación de blog de Synacktiv de una agencia de relaciones públicas. Eso es muy diferente de la que surge en una historia de la New York Times. Esto se siente, de hecho, todo un poco demasiado artificial, lo que, para mí, le resta valor a la credibilidad.
Nos hemos puesto en contacto con la agencia y preguntamos directamente si ha sido contratado por uno de los competidores de DJI. Hasta ahora … no han respondido a nuestra investigación.
Espera, ¿estás parcial?
Buena pregunta. Y si estuviera leyendo esto, me preguntaría lo mismo. Quiero decir, parece que estoy haciendo todo lo posible para defender la empresa.
Mientras pueda parecer De esa manera, ese no es el caso. Porque la verdad es esta: DJI se trata del resultado final. La compañía está en la cima y quiere quedarse allí. Ha ofrecido una generosa ‘recompensa de errores’, que recompensa a las personas por identificar problemas de software, durante años. Actualiza continuamente sus productos y software, y es tan notoriamente ajustado con el dinero que los empleados que esperan un descuento profundo del personal en los productos están sorprendidos. En resumen: DJI no ignoraría deliberadamente los problemas de software que probablemente dañen su reputación y ganancias. Y, especialmente con su programa de recompensas de errores, nunca insertaría intencionalmente un código malicioso cuando es probable que se descubra y salga de inmediato.
Entonces, para nosotros, simplemente no tiene sentido. Y, cuando miras algunas de las otras piezas que flotan en torno a esta historia, hay potencial aquí para una narración muy diferente.
Recomendaciones
Oye, si todavía tienes preocupaciones, ese es tu negocio. Si alguno de los problemas que Synacktiv le identificó, su blog recomienda las siguientes medidas:
Para mitigar los riesgos presentados en esta publicación de blog, recomendamos mantener la aplicación actualizada y verificar que la actualización proviene de la tienda oficial de Google Play.
Blog de Synacktiv
Más por venir
Esta historia no desaparece pronto. Cuando hay más desarrollos, los cubriremos.
Nota: Esta historia se ha actualizado ligeramente para incluir la respuesta de DJI, y eliminar declaraciones que indican que DronedJ todavía estaba esperando la respuesta de DJI.
FTC: Utilizamos ingresos que ganan enlaces de afiliados para automóviles. Más.