I sidste måned anklagede Ukraines vicepremierminister Mykhailo Fedorov DJI for at hjælpe Rusland med at dræbe ukrainske civile på en usædvanlig måde – ved at tillade Rusland frit at bruge et drone-tracking-system kaldet DJI AeroScope til at målrette den nøjagtige placering af ukrainske dronepiloter og angiveligt dræbe dem med morterangreb og missiler.
Så vi skrev en dybdegående forklaring om, hvad DJI AeroScope faktisk er, hvordan det fungerer, hvad det er designet til, og hvad, hvis noget, DJI rent faktisk kunne gøre for at forhindre folk fra at blive dræbt ved hjælp af sin teknologi. Men en hacker påpegede, at DJI ikke var sandfærdig over for os på mindst ét punkt – og virksomheden indrømmer det nu. AeroScope-signalerne, der udsendes af enhver moderne DJI-drone, er faktisk ikke krypteret, siger DJI nu.
Det betyder: regeringer og andre med tekniske evner behøver muligvis ikke et AeroScope for at se den nøjagtige position af hver DJI-drone og den nøjagtige placering af hver pilot i nærheden.
For at være klar, både DJI talsmand Adam Lisberg og drone-kriminalteknisk ekspert David Kovar fortalte os, at disse signaler var krypteret. Og da hackeren Kevin Finisterre foreslog os, at det var forkert, tjekkede vi med DJI igen. Det var først efter at Finisterre gentagne gange afkræftede påstanden, som DJI indrømmede over for The Verge, næsten en måned senere, at det faktisk ikke var sandt.
Lang historie kort betyder det, at @adamlisberg skal give en opdateret kommentar til @StarFire2258, hvori det står, at hans ingeniørpersonale talte forkert & at @DJIFlySafe @DJIEnterprise @djiglobal @djisupport #AeroScope #DroneID #RemoteID-pakker IKKE er *krypterede*. https://t.co/7y9xodwIoh pic.twitter.com/FJn1a2QZyV
— KF (@d0tslash) 19. april 2022
DJIs Lisberg siger, at det er hans skyld, men fortæller os også, at hans R&D-kontakter i Kina gentagne gange fortalte ham, at det var krypteret, og at det tog seniorledere at træde til og indrømme, at det ikke var sandt.
Det er ikke helt overraskende, at AeroScope-signaler i øvrigt er ukrypterede: DJI forestillede sig oprindeligt Drone ID (nu kendt som AeroScope) som en teknologi, som andre dronevirksomheder også ville bruge. Og regeringer som USA planlægger allerede at give mandat, at din drone udsender din fysiske placering inden 2023 – det vil ikke være valgfrit, og det er ikke klart for mig, om disse signaler heller vil blive krypteret.
Vi pressede Lisberg på nogle af de andre påstande, han fremsatte i stykket, da vi vil sikre os, at andre oplysninger er korrekte. Der er i øjeblikket ingen andre rettelser, men han indrømmede, at, ja, DJI kunne tilbagekalde et AeroScope-certifikat for tidligt for at deaktivere det, selvom det kun ville påvirke stationære enheder, der er forbundet til dets egne AWS-servere – og at det også teoretisk set kunne se GPS-positionerne for disse AeroScope-modtagere på den måde (dog sandsynligvis ikke dem, der bruges af russisk militær eller de bærbare, som slet ikke forbinder til AWS).
Lisberg siger også: “Jeg har endnu en gang fået at vide, at Sentinel og Supervisor ikke eksisterer,” med henvisning til et ildevarslende klingende program, som Finisterre fandt under et DJI-databrud i 2017. Finisterre har antydet, at programmet er bevis på, at DJI i det mindste i Kina miner data om sine brugere, men DJI har benægtet det og fortalte The Verge, at det simpelthen var et forslag til, hvordan DJI teoretisk kunne lave noget målrettet reklame, men at det aldrig faktisk skete.
Finisterre har også påpeget, at DJI havde en måde at fjernafbryde de AeroScope-signaler, som dens droner udsender, indtil den deaktiverede det i senere opdateringer. Det ser dog ud til, at der stadig kan være en måde at sende kommandoer til dronen for at maskere en pilots koordinater.
I går meddelte DJI, at det stopper alle forsendelser af produkter og al eftersalgssupport for både Rusland og Ukraine.