DJI、操縦アプリ「DJI GO」、「DJI GO 4」のセキュリティを強化
DJI は、アプリ内でデータ転送する際に生じるソフトウェアに関する懸念を解消するため、「DJI GO」と「DJI GO 4」の両アプリにおいて、重要なアップデートを公開しました。本アップデートは、iOS およびAndroid の両プラットフォームで更新可能です。DJI は、全てのユーザーに、iOS AppStore、もしくはGoogle Play から更新データをダウンロードし、最新バージョンのアプリを使用することを推奨します。
映像のライブ配信や写真のシェア、製品購入時の支払いなど、「DJI GO」と「DJI GO 4」の重要な機能の多くは、サードパーティ製のプラグインを使用しています。しかしながら、いくつかのサードパーティ製プラグインがDJI のセキュリティ標準規格を満たさないことを確認し、DJI はそれらの機能をアプリから削除しました。
DJI は、iOS 向けに2016 年3 月、Android 向けに2017 年5 月に導入したサードパーティ製プラグインの「JPush」を削除しました。JPush は、「SkyPixel」の動画共有プラットフォームに動画ファイルのアップロードが完了した際、プッシュ通知を行うために実装されました。JPush は、JPush ID を各ユーザーにそれぞれ割り当て、ユーザーがアップロードする動画を選択した際に、SkyPixel 側にそのID を伝えます。アップロードの完了後、SkyPixel は、ユーザーのJPush ID をJPush サーバーに送り、ユーザーのDJI GO またはDJI GO 4 アプリにアップロード完了通知を表示します。JPush を使用することで、アプリをバックグラウンドで動作できるため、容量の大きい動画ファイルをSkyPixel にアップロード中であっても、ユーザーはマルチタスク操作が可能になります。
この機能を正しく動作させる上で、JPush は、サードパーティとして、最小限で狭義のデータ量のみの送受信を求められます。しかし、DJI のソフトウェアセキュリティチームと外部研究者による調査で、JPush が無関係なデータを収集することを確認しました。それらのデータには、ユーザーがAndroid デバイスにインストールしているアプリのリストも含まれ、また、JPush のサーバーへ送られていました。DJI はこれらのデータ収集や送信に関して、許可も容認もしておらず、また、DJI がこれらのデータにアクセスしたことは、一度もありません。JPush は、既にDJI のアプリから削除済で、DJI では、ユーザーのデータを確実に保護するためのアプリの新しいステータスアップデートを開発予定です。
また、DJI は、ホットパッチングのサードパーティ製プラグインであるiOS の「jsPatch」およびAndroid の「Tinker」もアプリから削除しました。これらのプラグインは、パッチ配信することで、アプリ全体のアップデートをせずに、アプリ内にある特定の要素だけを即座に更新することができます。これらのプラグインは、一時的な飛行禁止区域や重大なバグといった、緊急に対応する必要がある飛行上のセキュリティ問題に迅速に対応するために搭載していました。しかし、DJI は、今後すべてのアプリのアップデートを、インストール前に一律に徹底して審査するため、これらのプラグインを削除しました。
DJI では、DJI GO とDJI GO 4 に搭載しているサードパーティ製プラグインとサービスの調査を継続するとともに、新たにサードパーティ製プラグインを採用する際には、徹底的な調査を行います。現在搭載しているプラグインには、ライブ配信用のYouTube やFacebook、アプリの強制終了を報告するBugly、DJI ストアでの支払いで使用するAlipay やTaobao があります。DJI は、ソフトウェアのセキュリティや信頼性を損ねるプラグインを引き続き削除していきます。
DJI は、新機能の開発時のソフトウェアセキュリティの重要性をより強固なものにするために、開発者向け社内教育プログラムの立ち上げとより厳格なコードレビューとテストプロセスを開始しました。
また、セキュリティの脅威となる問題点を素早く特定し解決するため、外部研究者を対象とした脆弱性報奨プログラムを導入し、より強固な研究と学術活動を支援するとともに、研究者や専門家によるDJI 製品とアプリ改善に向けた取組みを進めます。
これらの取組みは、DJI のソフトウェアの信頼性を高めるための継続的な活動です。
DJI は、ハードウェアメーカーとして、製品を通して最高のユーザー体験を提供することに注力し続けます。DJI のビジネスモデルに、ユーザー情報の販売等は一切含んでいません。DJI は、バグ修正のためにデータを収集し、地域毎の飛行上の安全情報や設定をアプリのアップデートで提供することで、高品質のカスタマーサービスと、シームレスなユーザー体験を提供します。
ユーザーが、フライトログをDJI サーバーと同期させたり、SkyPixel サイトに写真やビデオアップロードしたり、またはDJI の修理サービスに依頼しない限り、ユーザーのフライトログや写真、ビデオを収集したりアクセスすることはありません。
「DJI GO 4」の最新バージョンは、iOS が4.1.7、Android が4.1.5.3 です。
「DJI GO」の最新バージョンは、iOS が3.1.15、Android が3.1.11 です。
DJIについて
民生用ドローンと空撮技術で世界をリードするDJIは、リモート操縦できるヘリコプターの実現に情熱を注ぐスタッフにより創業、運営される、飛行制御技術と手ぶれ補正のエキスパートです。DJIは、プロ、アマチュアユーザーのために、革新的なドローンとカメラ技術を開発、製造しています。DJIは、世界中のクリエイターやイノベーターにとって、空撮技術とツールがより身近で使いやすく、安全になるよう取り組んでいます。現在、北米、ヨーロッパ、アジアに拠点を構え、世界100ヵ国を超えるユーザーが、映画、広告、建設、消防や農業をはじめとする多くの産業分野においてDJIの製品を愛用しています。
お問い合わせ先:
DJI JAPAN
株式会社 加藤吾朗
Mail: goro.kato@dji.com
www.dji.com/jp | facebook.com/dji.jp | twitter.com/djijapan | youtube.com/DJIJapan | instagram.com/dji_japan
© 2017 DJI JAPAN. 記載されている会社および商品名は、各社の商標または登録商標です。
