I droni DJI non spiano gli utenti: lo sostiene uno studio americano

0

Secondo i ricercatori dell’istituto Kivu di San Francisco, i timori sull’uso dei dati dei voli e degli utenti da parte di DJI, che hanno anche in passato causato il ban dei droni cinesi da parte del personale militare statunitense,  sarebbero esagerati: in realtà, scrivono i ricercatori, è vero che i droni DJI possono trasmettere a server remoti le riprese effettuate e i log di volo, ma è anche vero che altri tipi dati, come la diagnostica e i check sul luogo di decollo, possono essere tenuti riservati disattivando la app DJI Go 4 o spegnendo la rete Internet.

La ricerca è stata effettuata sui modelli più popolari del costruttore cinese,  Spark, DJI Mavic, DJI Phantom 4 Pro e  DJI Inspire 2, che , assicurano i ricercatori, non sono stati fornito da DJi direttamente bensì acquistati anonimamente sul mercato. Anche le app di volo sono state scaricate regolarmente dagli store online e installate su macchien Android e Apple nuove acquistate appositamente per i test.

Il flusso di dati è stato analizzato con le consuete tecniche di indagine forense e sono stati intercettati tutti i dati trasmessi a server remoti tramite Internet. DJI ha supportato la ricerca con la consulenza dei suoi ingegneri sia a Palo Alto (California) che in Cina a Shenzen, e i ricercatori americani hanno avuto accesso ai depositi del codice sorgente delle app per identificare con precisione quali dati sono raccolti, immagazzinati e trasmessi sia dal drone sia dalle app.

Che cosa trasmettono i droni DJI

Per quanto riguarda i video e le foto ripresi durante i voli, non c’è nessun tipo di trasmissione automatica: l’utente deve autorizzare esplicitamente la app a trasmettere il multimedia sul cloud, tipicamente a SkyPixel, il canale social di DJI. Anche l’audio non viene trasmesso: in questo caso si parla dei suoni eventualmente registrati dal microfono del cellulare, visto che – come peraltro quasi tutti i droni- i DJI non registrano dal drone, tanto con il rumore delle eliche non si otterrebbe nulla di utilizzabile. In effetti la app DJI Go 4 potrebbe trasmettere audio del cellulare, ma questa feature di default è spenta e va esplicitamente attivata.

Quanto ai log file, vengono registrati sia a bordo del drone sia sulla app, in un formato proprietario DJI. I dati dei log file comprendono la posizione GPS del drone, informazioni sulla gimbal, dati sulle immagini e i filmati catturai (compresi i tumbnail), dettagli sullo status del drone e delle batterie, tempo di volo. Questi dati non vengono trasmessi all’esterno a meno che il pilota non faccia il sync tra il drone e la app, in questo caso i dati vengono caricato su server che per gli utenti statunitensi sono collocati negli USA (per gli utenti europei la ricerca non dice nulla).

No Fly Zone

Cartografia ENR-6 disponibile gratuitamente (dopo la registrazione) sul sito ENAV  sezione Servizi Online -> AIP

L’aspetto più delicato è quello che riguarda le no-fly zone, cioè le aree di cielo in cui il drone non può essere usato: ATZ aeroportuali, CTR (proibite agli hobbysti in Italia, ma non ai piloti di SAPR), aree P (Proibite) R (Restricted) e D (Dangerous), che possono essere ricavate dalle mappe disponibili (gratis previa registrazione) sul sito ENAV, che sono l’unica cartografia con valore legale,  oppure desunte da app anche gratuite come Italian Airspace Light per Android o via browser da Notam Info

Per default, al decollo la app DJI GO4 trasmette alcuni dati sullo status del drone e le coordinate del punto di decollo, ma non precise: sono volutamente randomizzate nel raggio di 10 km dal punto effettivo di armamento della macchina quando il volo avviene vicino a una no-fly zone, e l’informazione che si è vicino a un’area proibita viene trasmessa al pilota per aiutarlo a non commettere errori che potrebbero essere disastrosi. Comunque il pilota – scrivono i ricercatori califormiani – può disattivare la trasmissione della posizione di decollo a DJi sia disattivando la feature dalla app sia spegnendo la connessione a Internet. In aggiunta, notano i ricercatori, l’utente può attivare la funzione Local Data Mode (“LDM”) che impedisce ogni trasmissione di dati a DJI.

Cosa sa di noi il colosso cinese?

Come è noto, durante certe operazioni – come la prima registrazione del prodotto – DJi chiede informazioni personali sensibili, come email e numero di telefono. I ricercatori americani assicurano che DJI non fa alcuna validazione di questi dati, quindi l’utente che vuole proteggere il suo anonimato non avrà difficoltà a farlo. Anche se i droni che usano le funzioni Gesture hanno una funzione che si chiama FaceAware, non si tratta di un vero riconoscimento facciale: riconosce che si trova di fronte a un volto per ragioni di sicurezza, ma non può distinguere un viso da un altro e nemmeno identificare il proprietario del drone stesso. Per quanto riguarda la robustezza della protezione dei dati degli utenti contro i furti, nella sua ricerca Kivu ha scoperto delle vulnerabilità, ma i ricercatori affermano di aver avvisato DJI che ha posto rimedio prontamente.

⇒LA RICERCA (IN INGLESE)

838 visite
Commenta:

Segui DronEzine sui social: