首頁  ►  DJI 聘獨立公司調查網絡安全傳聞 報告怎樣說? 
  • DJI

DJI 聘獨立公司調查網絡安全傳聞 報告怎樣說? 

文: | 2018-04-27T16:58:03+08:00 2018-04-27| , , , |

大疆創新(DJI)去年被捲入連串網絡安全醜聞,被指向中國政府提供用戶資料。日前,DJI 發布一份由 Kivu 負責的獨立調查報告,總結指出 DJI 用戶可控制無人機收集、儲存及傳送什麼類型的數據。

DJI 聘請美國諮機構調查傳送用戶數據的處理機制。

DJI 聘請美國諮機構調查傳送用戶數據的處理機制。

去年網絡安全醜聞連連

「網絡安全(Cybersecurity)」成為了 DJI 在 2017 年的關鍵字,因它被爆出連串洩漏用戶資料的消息,包括被指建立熱修補機制(hot-patch mechanism)來避過 DJI Go 4 手機應用程式在更新時的審查、美軍宣布因網絡漏洞停止使用 DJI 無人機、美國入境海關部門爆出 DJI 向中國政府洩漏用戶資料等。DJI 事後澄清並沒有將用戶在無人機的資料供予中國政府,並指已聘請獨立公司檢討在處理用戶敏感資料的方法。
【延伸閱讀】網傳 DJI 洩密美國基建執法資料 DJI:指控來源不明、錯誤
【延伸閱讀】DJI 安全疑慮風波不斷 澳國防部 40 架無人機撒出機密任務
【延伸閱讀】美軍恐網絡漏洞禁用 DJI 無人機 大疆:驚訝和失望
周一(4 月 23 日),DJI 公布由美國諮詢公司 Kivu 花了 4 個月完成的獨立調查報告,得出以下結果:

  • DJI無人機及 DJI Go 4 App 只會在用戶選擇許可的情況下,才會自動將上傳媒體檔案至伺服器;
  • DJI 無人機不會錄音,DJI Go 4 App 在用戶要求下可錄音;
  • DJI 無人機及 App 會儲存飛行紀錄,只會在用戶選擇同步上傳資料至伺服器時,才會這麼做;
  • 當啟動時,DJI 無人機預設會上載診斷數據及禁飛區資料,但用戶可以關掉手機網絡、在 App 內關掉這個選項,或者在 Andriod 手機使用本地數據模式(Local Data Mode)來避免這種情況;
  • 用戶雖被要求在啟用無人機時輸入電郵地址、手機號碼﹐但這些資料不需驗證,也並不一定要準確填寫,沒有其他個人資料被收集;
  • 所有上傳到雲端的數據均儲存在位於美國的亞馬遜網絡服務(AWS)和阿里雲伺服器上;
  • DJI 無人機不可以辨識用戶臉像,也沒用使用臉像識別軟件;
  • DJI 已就 AWS 伺服器上數據可被取得的問題作出補救,並確保遵守有關法律。

諮詢公司購入 DJI 無人機測試

就是次獨立調查,Kivu 獨立購買了 DJI Spark、Mavic Pro、Phantom 4 Pro 及 Inspire 2 型號的無人機﹐並在獨立新購入的 Android 及蘋果手機安裝相應 App 作測試及分析,同時訪問在美國加州和中國深圳的 DJI 管理層和工程師,探討軟件、產品開發及訊息安全的工作,包括讓 Kivu 團隊讀取專屬代碼。DJI 北美地區總經理 Michael Perry 坦言:「這是 DJI 的第一次。」

DJI 無人機用戶一直關注個人及飛行資料如何被取用。

DJI 無人機用戶一直關注個人及飛行資料如何被取用。

報告:用戶可控制傳送什麼數據

Kivu 網絡安全調查總監 Douglas Brush 表示:「針對無人機、飛控系統及應用程式分析後,Kivu 總結出 DJI 用戶可控制無人機收集、儲存及傳送什麼類型的數據。」但 Gizmodo 報道指,已取得 Kivu 整份 27 頁的報告,並指出 DJI Go 4 App 的確透過一個名為 Bugly 的 App 與中國伺服器連接,收集的檔案儲於名為「Bugly_db_」的資料庫,包括最後的網際網路協定位址(IP Address)、手機設備的國際移動設備識別碼(International Mobile Equipment Identity,IMEI);還指出這些伺服器的位址從沒披露,Kivu 的報告也沒有在總結中提及這些細節。

關掉網絡較安全

DroneDJ 也取得整份報告,並指 DJI Go 4 App 具有一個名為「Bugly_db_」的資料庫,而 Bugly 這個應用程式是用來收集診斷時的數據,以及向應用程式開發商通報程式中斷的問題。這個資料庫的數據包括使用 DJI Go 4 App 手機裝置的 IP Address、IMEI、無人機、相機、遙控器種類、飛行區域的經緯度、韌體資料等,而這些資料將會傳送至兩個騰訊在深圳及北京的伺服器。由於這是 DJI 預設的功能,用戶要避免的話,小編建議使用沒有網絡的手機或平板電腦設備,或選用只支援 Android 及 CrystalSky 裝備的本地數據模式,以中止無人機在飛行時的網路數據傳輸。
【延伸閱讀】監管系統 AeroScope 新功能主張上報自主
【延伸閱讀】DJI 回應洩露私隱指控 預告容許離線飛行 暫停收發數據
【延伸閱讀】DJI 與中國政府共享用戶數據 香港無人機玩家或難逃監控
資料來源:DJIDroneDJ
圖片來源:ShutterStock

作者簡介:

陶子亭
愛聽故事,愛文字,愛攝影,最近愛上航拍,想用鳥瞰視野欣賞地球的美!