Sicherheitslücken in Drohnen-App: Weltweit führender Hersteller aus China unter Beschuss

Forscher für Cyber-Sicherheit deckten am Donnerstag (23.7.) Schwachstellen in einer App namens DJI GO 4 auf, welche die weltweit beliebtesten kommerziellen Drohnen kontrolliert, berichtet die „New York Times“. Diese Entdeckung könnte die Spannungen zwischen den USA und China weiter verschärfen.

Die besagte App befindet sich auf Googles Android-Betriebssystem und steuert Drohnen vom chinesischen Unternehmen Da Jiang Innovations (DJI). Eine kurze Suche auf Amazon ergibt, dass die Marke auf dem Drohnen-Markt alles andere als unbekannt ist. Tatsächlich handelt es sich bei DJI um den weltgrößten Hersteller kommerzieller Drohnen.

App für Drohnen sammelt „große Mengen persönlicher Daten“

In zwei Berichten behaupteten die Forscher, dass die App große Mengen persönlicher Daten sammele, welche von der Regierung in Peking ausgenutzt werden könnten. Hunderttausende Kunden auf der ganzen Welt nutzen diese App, um ihre Drohnen zu steuern.

„Zwar gibt es technische Berichte, die von DJI finanziert werden und die besagen, dass die zugehörige mobile Anwendung DJI GO 4 harmlos ist und keine persönlichen Daten an den chinesischen Hersteller zurückschickt, aber wir wollten die technischen Möglichkeiten der Anwendung selbst beurteilen“, so die Forscher von Synacktiv.

Der „New York Times“ zufolge hat die US-Regierung den Einsatz der DJI-Drohnen verboten, da es Sicherheitsbedenken bezüglich der Technik gegeben habe. Seit Monaten warnen Regierungsbeamte der Vereinigten Staaten davor, dass die chinesische Regierung technische Produkte ausnutze, um an Informationen zu gelangen. Die chinesischen Unternehmen, welche in den USA tätig sind, haben gar keine andere Wahl und müssen der Aufforderung der chinesischen Regierung Folge leisten.

„Jedes chinesische Technologieunternehmen ist nach chinesischem Recht verpflichtet, den chinesischen Behörden Informationen, die es erhält, oder Informationen, die in seinen Netzwerken gespeichert sind, auf Anfrage zur Verfügung zu stellen“, sagte William R. Evanina, Direktor des Militärischen Abschirmdienstes der USA. „Allen Amerikanern sollte es Sorgen bereiten, dass ihre Bilder, biometrische, ortsbezogene und andere Daten, die in chinesischen Apps gespeichert sind, dem Staatssicherheitsapparat Chinas übergeben werden müssen“, zitiert die „New York Times“ den Beamten.

Forscher sehen keinen technischen Nutzen der gesammelten Daten

Die erwähnten Forscher arbeiten für zwei Sicherheitsforschungsunternehmen: Synacktiv mit Sitz in Frankreich und für das amerikanische GRIMM. Sie stellten fest, dass die App nicht nur Informationen von den Telefonen sammelt, sondern dass DJI sie auch aktualisieren kann, „ohne dass Google die Änderungen überprüfen muss, bevor sie an die Verbraucher weitergegeben werden“.

Den Forschern zufolge seien die Änderungen für die Nutzer schwer zu überprüfen. „Das Telefon hat Zugriff auf alles, was die Drohne gerade macht, aber die Informationen, über die wir sprechen, sind Informationen aus dem Telefon“, sagte Tiphaine Romand-Latapie gegenüber der „New York Times“. Romand-Latapie ist Ingenieurin bei Synacktiv. „Wir verstehen nicht, warum DJI diese Daten brauchen sollte“, fügte sie hinzu.

„Die Anwendung DJI GO 4 auf der Android-Plattform wird nicht geschlossen, wenn der Benutzer die Anwendung mit einem Streichen nach rechts schließt. Die App läuft im Hintergrund weiter und stellt Netzwerkanfragen“, so die Schlussfolgerung der Mitarbeiter von Synacktiv.

Romand-Latapie stellt klar, dass es sich bei der Sicherheitslücke nicht um eine Hintertür oder eine Schwachstelle handele, welche es Hackern erlaubt, in ein Telefon einzudringen. Diese Option hat DJI komplett verschlossen. „Sie haben eine Sicherheitsfunktion in die App eingebaut, welche die Nutzer davon abhalten, die App zu hacken. Wenn eine gehackte Version entdeckt wird, werden die Benutzer aufgefordert, die offizielle Version von unserer Website herunterzuladen“, sagte Brendan Schulman, Sprecher von DJI.

Drohnen-Hersteller arbeitet mit US-Regierung zusammen

Die Drohnen werden in den USA genutzt. Sie werden für verschiedene Projekte und in verschiedenen Branchen verwendet. Sie drehen Filme, bewachen Kraftwerke, unterstützen sogar das US-Militär und -Polizei. Daher arbeitet DJI mit der US-Regierung zusammen, um Bedenken wegen Sicherheitsprobleme zu zerstreuen.

Dennoch sagten Sicherheitsforscher von Synacktiv, dass „das Muster der Probleme im Code von DJI und die schnell implementierten Korrekturen, die darauf hindeuteten, dass das Unternehmen bereits über einige der Probleme Bescheid wusste, sie aber noch nicht behoben hatte, ebenfalls Anlass zur Sorge gaben“.

„Es ist die Mischung all dessen, was uns misstrauisch gemacht hat“, sagte Romand-Latapie von Synacktiv. „Es macht die Anwendung ziemlich gefährlich für den Benutzer, wenn er nicht weiß, wozu die Anwendung in der Lage ist“, so die Ingenieurin.