DJI zwiększa bezpieczeństwo oprogramowania w swoich aplikacjach do kontroli lotów
28 sierpnia 2017 r. - DJI wprowadziło ważne aktualizacje dla swoich aplikacji DJI GO i DJI GO 4, aby rozwiązać obawy dotyczące elementów oprogramowania w aplikacjach, które przesyłają dane przez Internet. Aktualizacje są dostępne zarówno na platformach Android i iOS. DJI zachęca swoich klientów do pobierania i korzystania z najnowszej wersji tych aplikacji z AppStore iOS oraz Google Play.
Wiele funkcji w aplikacjach DJI GO i DJI GO 4 korzysta z wtyczek firm zewnętrznych, które służą funkcjom, takim jak przekaz obrazu na żywo, udostępnianie zdjęć czy dokonywanie płatności za przedmioty w sklepie DJI. Po wnikliwej analizie odkryliśmy, że niektóre wtyczki firm zewnętrznych nie spełniają standardów bezpieczeństwa dlatego zostały usunięte z naszych aplikacji.
DJI usunęło wtyczkę o nazwie JPush, która została wprowadzona w marcu 2016 roku na system iOS i w maju 2017 na Androida. Zaimplementowaliśmy tą wtyczkę, aby otrzymywać powiadomienia w momencie gdy pliki wideo trafiają do platformy SkyPixel firmy DJI. JPush przypisuje każdemu użytkownikowi unikatowy identyfikator JPush i przekazuje go firmie SkyPixel, gdy użytkownik zdecyduje się przesłać film. Po przesłaniu wideo, SkyPixel wysyła zwrotny identyfikator do serwera JPush, uruchamiając powiadomienie "Upload Complete" w aplikacjach DJI GO lub DJI GO 4. Korzystając z wtyczki zewnętrznej firmy JPush, DJI zezwalał użytkownikom na wielozadaniowość, a przesyłanie dużych plików wideo do SkyPixel odbywało się już w tle ich aplikacji.
Jako firma zewnętrzna JPush tak naprawdę potrzebowała tylko wysyłać i otrzymać minimalną ilość danych, aby ta funkcja działała prawidłowo. Całkiem niedawno nasz zespołu ds. Bezpieczeństwa oprogramowania DJI odkrył, że JPush pobiera także niepotrzebne informacje, które zawierają listę aplikacji użytkownika zainstalowanych na urządzeniu z Androidem i wysyła je do serwera JPush. DJI nie upoważniał do pobierania ani przesyłania tych danych, w dodatku DJI nigdy nie uzyskał dostępu do tych danych. JPush został usunięty z naszych aplikacji, a DJI pracuje nad stworzeniem nowej metody udostępniania aktualizacji aplikacji, które lepiej chronią dane naszych klientów.
DJI usunął także wtyczki firmy jsPatch dla iOS oraz Tinker na Androida, które umożliwiły DJI natychmiastowe aktualizowanie poszczególnych elementów w naszych aplikacjach bez aktualizacji całej aplikacji. Używaliśmy tych wtyczek , aby szybko rozwiązać problemy dotyczące bezpieczeństwa lotów, takie jak tymczasowe strefy zakazu lotów oraz krytyczne błędy. DJI usunął te wtyczki, aby zapewnić, że przed instalacją zostanie uruchomiony proces wyszukiwania najnowszych aktualizacji.
DJI będzie kontynuować kontrolę wszystkich wtyczek i usług firm zewnętrznych w DJI GO i DJI GO 4 i zobowiązuje się do dokładnego zbadania wszelkich nowych zewnętrznych wtyczek przed ich wdrożeniem. Nasze istniejące wtyczki obejmują YouTube i Facebook do transmisji na żywo, Bugly za zgłaszanie awarii aplikacji oraz Alipay i Taobao do zapłaty w sklepie DJI. Zobowiązujemy się na usunięcie wszystkich wtyczek, które powodują problemy związane z bezpieczeństwem oprogramowania lub jego integralnością.
Uruchomiliśmy wewnętrzny program edukacyjny dla naszych programistów, i jeszcze bardziej rygorystyczny proces weryfikacji kodu i testowania, aby zwiększyć bezpieczeństwo oprogramowania przy opracowywaniu nowych funkcji.
DJI przedstawia program nagród dla młodych utalentowanych programistów, aby lepiej wspierać nasze wysiłki w celu udoskonalenia naszych produktów i aplikacji, a także bardziej solidny program badań, akademickiego zasięgu. Naszym celem jest szybka identyfikacja i rozwiązywanie potencjalnych problemów związanych z bezpieczeństwem.
Wszystkie nasze starania stanowią część kontynuowanych przez DJI działań mających na celu poprawę integralności naszego oprogramowania.
Jako producent sprzętu chcemy podkreślić, że DJI koncentruje się na zapewnieniu jak najlepszej jakości obsługi naszych produktów. Chcielibyśmy uniknąć opinii użytkowników, że nasz model biznesowy sprzedaży oparty jest tylko na zysku. Zamiast tego DJI gromadzi dane, aby naprawić błędy, oferować bardziej elastyczną i bezproblemową obsługę klienta, aktualizując aplikacje, zapewniając jak najbezpieczniejsze informacje oraz ustawienia w czasie lotu.
DJI nie posiada dostępu do dzienników lotów, zdjęć lub filmów wideo generowanych podczas lotów nadmorskich, chyba że klient zdecyduje się podzielić się z nami swoimi danymi, wyrażając zgodę na synchronizowanie dzienników lotu z serwerami DJI, przesyłanie zdjęć lub filmów do SkyPixel.
Wersje DJI GO 4 zostały zaktualizowane do wersji 4.1.7 dla iOS i 4.1.5.3 dla Androida. Wersje DJI GO zostały zaktualizowane do wersji 3.1.15 dla iOS i 3.1.11 dla Androida.