赞 《Cybernews》研究团队偶然发现一个未受保护的数据库,该数据由DJI大疆创新海外的数十个空域监控设备DJI Aeroscope(以下简称云哨)产生,合计8万个无人机ID\RID数据已经泄露,其中还包含由DJI云哨设备生成的超过9000万条无人机追踪数据,而DJI是全球最大的无人机和无人机监控设备制造商。
(DJI Aeroscope 云哨)
随着无人机技术的快速发展,军方、企业和消费者使用的无人机正在“从根本上改变航空业”。因此,美国联邦航空管理局 (FAA) 设想通过识别所有无人驾驶飞机系统,将无人机整合到国家空域系统 (NAS) 中。于是FAA引入了远程ID的概念,其类似于无人机牌照以识别无人机所有者,防止他们以不安全的方式飞行或直接禁飞。 Remote ID将提供有关飞行中无人机的信息,如无人机的身份、位置和高度及其控制站或起飞位置。
控制了全球无人机市场最大份额的中国DJI大疆创新率先实现了以上管理方式, 早在2017年,它就推出了云哨系统以识别监控飞行中的DJI无人机。无人机通过DJI专有的SDR(软件无线电)协议Ocusync(前身是Lightbridge)、蓝牙、WIFI广播飞行数据、序列号、RID等信息。
DJI表示:“从节日、政府活动和大型体育赛事等临时活动到机场、监狱和核电站等固定地点,云哨是一种简单、强大的技术解决方案,可提供有关该地区DJI无人机的即时信息——从它们的飞行路径到他们的起飞位置到他们的序列号。”
根据Business Insider 2020年的报告,这家总部位于深圳的公司占据了全球消费者和企业无人机市场70%的份额。DJI大疆创新于2021年被拜登政府列入实体清单,而在2022年10月5日,美国国防部将DJI大疆创新和其他十几家公司一同添加到与军方有关联黑名单。乌克兰副总理指责该公司允许俄罗斯在乌克兰领土上自由使用包括云哨在内的DJI设备,DJI也宣布暂时中止在俄罗斯和乌克兰的所有业务。
DJI大疆创新的云哨可以“识别当今市场上绝大多数流行的无人机”。在《Cybernews》研究团队发现的开放数据库中,包含由66种不同DJI云哨设备创建的超过9000万条无人机监控日志条目,其中大多数(53 台)位于美国。其中一些位于卡塔尔(6 个),还有一些位于德国、法国和土耳其。DJI云哨日志包括无人机的位置、型号和序列号、无人机飞行员的位置以及家的位置(通常是起飞点)。数据集中不存在个人身份信息 (PII)。总的来说,我们在实例中发现了超过八万个唯一无人机 ID和RID。
DJI透露公司研究人员于7月11日发现了以上问题,由美国AWS托管的54.5GB数据集并非DJI公司资产,意味着这些数据很可能是他们的客户使用云哨监控空域无人机的。 AWS表示它已将“安全问题告知客户,以提高他们的意识和潜在的缓解措施”。
毋庸置疑,无人机监视对于那些只是为了看风景,或捕捉航拍镜头的人来说已经足够令人不安了。考虑到航空安全问题,对无人机的跟踪不可避免:但是,数据运营商可以合理地将监控数据保存在受保护的数据库中。这些信息泄露也让业余无人机爱好者感到不安,因为它可以显示他们使用无人机所行驶的路线。
希腊古堡、Tom Liuis、OsitaLV对本文亦有贡献,特此鸣谢。