Независимый аудит не обнаружил вредоносного ПО или бэкдоров в дронах DJI

Компания DJI опубликовала результаты независимой оценки безопасности, проведенной американской фирмой по кибербезопасности OnDefend. В ходе пятимесячного тестирования потребительского дрона DJI Air 3S и корпоративного Matrice 4E не было выявлено ни одной критической, высокой или средней уязвимости. OnDefend также не обнаружила доказательств передачи данных за пределы США, скрытых бэкдоров или успешных попыток взлома или вмешательства в работу обоих аппаратов.

Аудит проводится на фоне судебного иска DJI к Федеральной комиссии по связи США (FCC) в Девятом окружном апелляционном суде. Иск оспаривает решение FCC, принятое в декабре прошлого года, о запрете на выдачу разрешений на оборудование для всех новых иностранных дронов. По заявлению DJI, этот запрет обойдется компании в $1,56 млрд (~125 млрд рублей) в текущем году.

Запрет вступил в силу после того, как назначенная правительством проверка национальной безопасности продуктов DJI не началась до установленного срока в декабре 2025 года. Компания DJI по собственной инициативе начала сотрудничество с OnDefend в октябре; в команду фирмы входят бывшие американские военные и специалисты по кибербезопасности из правительственных структур.

Специалисты OnDefend протестировали оба дрона на уровне программного обеспечения, аппаратного обеспечения, прошивки и радиочастот, включая симуляцию атак типа «человек посередине» и физический разбор устройств. OnDefend самостоятельно приобрела тестовые образцы: Air 3S — в розничном магазине, а Matrice 4E — со склада дилера, причем DJI не участвовала в процессе выбора.

В ходе оценки было выявлено 10 уязвимостей низкого уровня, включая слабые протоколы TLS в сопутствующем приложении и токены аутентификации в URL-адресах. OnDefend охарактеризовала их как соответствующие стандартным практикам для сложных встраиваемых систем. DJI заявила, что устраняет эти проблемы с помощью обновлений прошивки. OnDefend также рекомендовала проводить постоянное тестирование будущих версий прошивки, обновлений программного обеспечения и аппаратных ревизий, отметив, что аудит представляет собой «моментальный снимок» двух продуктов в определенный момент времени.

Примечательно, что OnDefend является одним из независимых инспекторов безопасности, назначенных подразделением TikTok по безопасности данных в США в июне 2024 года для проведения непрерывного пентеста этой платформы. Таким образом, аудит DJI означает, что фирма проверила уже две китайские технологические компании, в отношении которых в США ведется активное производство по вопросам национальной безопасности.

Хотя DJI утверждает, что аудит OnDefend был проведен независимо, компания санкционировала и оплатила его. В целом эта договоренность отличается от проверки, проводимой по указанию правительства, которая осуществлялась бы под федеральным надзором и без финансовой связи с проверяемым субъектом.

DJI подала иск против FCC еще в феврале, утверждая, что включение в список «Covered List» нарушает Конституцию США. В апрельских судебных документах DJI раскрыла, что FCC аннулировала разрешения для 14 существующих продуктов, а 25 запланированных на 2026 год новинок не смогут выйти на рынок США. Данные китайской таможни, опубликованные Nikkei Asia, показывают, что ежемесячный экспорт гражданских дронов в США с декабря сократился на 60-70% в годовом исчислении.

Источник: Tomshardware.com