大疆創新(DJI)去年被捲入連串網絡安全醜聞,被指向中國政府提供用戶資料。日前,DJI 發布一份由 Kivu 負責的獨立調查報告,總結指出 DJI 用戶可控制無人機收集、儲存及傳送什麼類型的數據。
DJI 聘請美國諮機構調查傳送用戶數據的處理機制。
去年網絡安全醜聞連連
「網絡安全(Cybersecurity)」成為了 DJI 在 2017 年的關鍵字,因它被爆出連串洩漏用戶資料的消息,包括被指建立熱修補機制(hot-patch mechanism)來避過 DJI Go 4 手機應用程式在更新時的審查、美軍宣布因網絡漏洞停止使用 DJI 無人機、美國入境海關部門爆出 DJI 向中國政府洩漏用戶資料等。DJI 事後澄清並沒有將用戶在無人機的資料供予中國政府,並指已聘請獨立公司檢討在處理用戶敏感資料的方法。
【延伸閱讀】網傳 DJI 洩密美國基建執法資料 DJI:指控來源不明、錯誤
【延伸閱讀】DJI 安全疑慮風波不斷 澳國防部 40 架無人機撒出機密任務
【延伸閱讀】
周一(4 月 23 日),DJI 公布由美國諮詢公司 Kivu 花了 4 個月完成的獨立調查報告,得出以下結果:
- DJI無人機及 DJI Go 4 App 只會在用戶選擇許可的情況下,才會自動將上傳媒體檔案至伺服器;
- DJI 無人機不會錄音,DJI Go 4 App 在用戶要求下可錄音;
- DJI 無人機及 App 會儲存飛行紀錄,只會在用戶選擇同步上傳資料至伺服器時,才會這麼做;
- 當啟動時,DJI 無人機預設會上載診斷數據及禁飛區資料,但用戶可以關掉手機網絡、在 App 內關掉這個選項,或者在 Andriod 手機使用本地數據模式(Local Data Mode)來避免這種情況;
- 用戶雖被要求在啟用無人機時輸入電郵地址、手機號碼﹐但這些資料不需驗證,也並不一定要準確填寫,沒有其他個人資料被收集;
- 所有上傳到雲端的數據均儲存在位於美國的亞馬遜網絡服務(AWS)和阿里雲伺服器上;
- DJI 無人機不可以辨識用戶臉像,也沒用使用臉像識別軟件;
- DJI 已就 AWS 伺服器上數據可被取得的問題作出補救,並確保遵守有關法律。
諮詢公司購入 DJI 無人機測試
就是次獨立調查,Kivu 獨立購買了 DJI Spark、Mavic Pro、Phantom 4 Pro 及 Inspire 2 型號的無人機﹐並在獨立新購入的 Android 及蘋果手機安裝相應 App 作測試及分析,同時訪問在美國加州和中國深圳的 DJI 管理層和工程師,探討軟件、產品開發及訊息安全的工作,包括讓 Kivu 團隊讀取專屬代碼。DJI 北美地區總經理 Michael Perry 坦言:「這是 DJI 的第一次。」
DJI 無人機用戶一直關注個人及飛行資料如何被取用。
報告:用戶可控制傳送什麼數據
Kivu 網絡安全調查總監 Douglas Brush 表示:「針對無人機、飛控系統及應用程式分析後,Kivu 總結出 DJI 用戶可控制無人機收集、儲存及傳送什麼類型的數據。」但 Gizmodo 報道指,已取得 Kivu 整份 27 頁的報告,並指出 DJI Go 4 App 的確透過一個名為 Bugly 的 App 與中國伺服器連接,收集的檔案儲於名為「Bugly_db_」的資料庫,包括最後的網際網路協定位址(IP Address)、手機設備的國際移動設備識別碼(International Mobile Equipment Identity,IMEI);還指出這些伺服器的位址從沒披露,Kivu 的報告也沒有在總結中提及這些細節。
關掉網絡較安全
DroneDJ 也取得整份報告,並指 DJI Go 4 App 具有一個名為「Bugly_db_」的資料庫,而 Bugly 這個應用程式是用來收集診斷時的數據,以及向應用程式開發商通報程式中斷的問題。這個資料庫的數據包括使用 DJI Go 4 App 手機裝置的 IP Address、IMEI、無人機、相機、遙控器種類、飛行區域的經緯度、韌體資料等,而這些資料將會傳送至兩個騰訊在深圳及北京的伺服器。由於這是 DJI 預設的功能,用戶要避免的話,小編建議使用沒有網絡的手機或平板電腦設備,或選用只支援 Android 及 CrystalSky 裝備的本地數據模式,以中止無人機在飛行時的網路數據傳輸。
【延伸閱讀】監管系統 AeroScope 新功能主張上報自主
【延伸閱讀】DJI 回應洩露私隱指控 預告容許離線飛行 暫停收發數據
【延伸閱讀】DJI 與中國政府共享用戶數據 香港無人機玩家或難逃監控
資料來源:DJI、DroneDJ
圖片來源:ShutterStock
