Politie gebruikt omstreden Chinese drones voor opsporing

Data voor China

politie

Romy van der Burgh Emiel Woutersen

In samenwerking met
De Groene Amsterdammer Trouw EenVandaag

Een drone-piloot in uniform, juli 2021 Beeld door: ANP / Hollandse Hoogte / Inter Visual Studio

Nieuws

Politie gebruikt omstreden Chinese drones voor opsporing

De Nationale Politie maakt gebruik van drones van het omstreden Chinese techbedrijf Da Jiang Innovations (DJI), ondanks verschillende aanwijzingen dat beelden en andere dronedata weg kunnen lekken naar de Chinese overheid. Volgens verschillende experts doet de politie te weinig om dat risico weg te nemen, blijkt uit onderzoek van platform voor onderzoeksjournalistiek Investico voor Trouw, De Groene Amsterdammer en EenVandaag. De politie zegt in een reactie ‘niet uit te kunnen sluiten dat hun data op Chinese servers belandt.’

De politie zette de onbemande vliegtoestellen alleen in 2021 al meer dan duizend keer in voor opsporing en het controleren van de openbare orde. De vloot bestaat inmiddels uit ruim honderd DJI-drones. Uit verschillende internationale onderzoeken bleek de afgelopen jaren dat de besturingsapps grote hoeveelheden persoonsgegevens naar Chinese servers sturen en hackers bijvoorbeeld live konden meekijken met de dronecamera. Als groot Chinees bedrijf is DJI bovendien wettelijk verplicht om data te delen met de Chinese overheid; in 2016 gaf het bedrijf toe bereid te zijn dat ook te doen wanneer Beijing daartoe verzoekt. 

Precies om die reden zet de Nederlandse Defensie geen DJI-drones in voor operationeel gebruik, zegt een woordvoerder. ‘De data zijn vaak niet afgeschermd, en staan meestal op servers in China. De eigenaren kunnen worden verplicht om data te leveren aan de Chinese overheid.’ Het Amerikaanse leger kwam in 2017 ook tot die conclusie.

Blijf op de hoogte van onze onderzoeken. Meld je aan voor de nieuwsbrief

In een reactie stelt de politie geen drones te gebruiken voor ‘afgeschermde operaties’. Bovendien, zegt de woordvoerder, worden de dronebeelden versleuteld verstuurd, zodat de data van de drone niet kan weglekken. Maar tegelijkertijd kan de politie niet uitsluiten dat data op Chinese servers belandt: ‘We zijn ons bewust van dit risico. Tot nu toe hebben we geen datalek vastgesteld.’ Ook de overheidseditie die DJI speciaal ontwierp voor éxtra dataveiligheid zegt de politie niet te gebruiken. 

Datalekken en achterdeuren

Ondertussen vonden verschillende internationale cybersecurity-onderzoekers op verschillende momenten datalekken en achterdeuren in de software van DJI. Zo ontdekte een Frans onderzoeksteam in 2020 dat de app die de drone bestuurt grote hoeveelheden persoonsgegevens verzamelde en die vervolgens naar Chinese servers stuurde. ‘Dat ging van de helderheid van het scherm tot het serienummer van de SIM-kaart van het toestel waarop de app stond geïnstalleerd’, zegt Tiphaine Romand-Latapie, die het onderzoek leidde.

En in 2018 ontdekten onderzoekers van het IT-beveiligingsbedrijf Check Point dat hackers live mee konden kijken met de dronecamera en toegang konden krijgen tot eerdere opnames. Overheidsorganisaties als de Nederlandse politie moeten ingrijpende voorzorgsmaatregelen treffen als ze dit soort drones veilig willen gebruiken, zegt Check Point-onderzoeker Oded Vanunu: ‘Ze moeten bijvoorbeeld hun eigen app ontwikkelen om de drone te besturen, zodat je niet afhankelijk bent van de software van DJI.’ De politie geeft aan geen eigen app te hebben en de meegeleverde DJI-software te gebruiken.

Rijkswaterstaat en NS gebruiken zelfde drones

Niet alleen de Nederlandse politie gebruikt DJI. De NS en ProRail gebruiken ze bijvoorbeeld voor spoorinspecties en bedrijven in de Rotterdamse en Amsterdamse havens zetten ze in voor inspecties en onderhoud. Ook Rijkswaterstaat gebruikt de onbemande helikopters om de Deltawerken en andere bruggen te inspecteren. Dat is een risico, zegt Patrick Bolder, die voor The Hague Center for Strategic Studies onderzoek doet naar drones: ‘Nederland is heel erg afhankelijk van de waterwegen. Je wil niet dat een potentiële tegenstander als China precies weet welke sluis of brug ze bijvoorbeeld via een cyberaanval uit moeten schakelen om de scheepvaart te blokkeren.’

DJI stelt in een schriftelijke reactie dat al hun producten veilig zijn. Gebruikers hoeven volgens DJI geen data te delen, ook niet met DJI zelf. Ze zijn zich bewust van kritische onderzoekers en -in eigen woorden- concurrenten en stellen dat de conclusies simpelweg onwaar zijn. Bovendien wijst het bedrijf op de speciale, extra veilige overheidseditie van de dronesoftware.

Verantwoording

Investico is radicaal transparant. In verantwoordingsdocumenten maken wij onze onderzoeksmethodes en resultaten openbaar zodat publiek en andere onderzoekers ons werk kunnen controleren en erop kunnen voortbouwen. In de longread van het onderzoek hieronder verwijzen noten naar het bronmateriaal. Wilt u meer weten over onze missie en methode? Lees meer

Verantwoordingsdocumenten

Onderzoek met bronnen

Data voor China

Een drone-piloot in uniform, juli 2021 Beeld door: ANP / Hollandse Hoogte / Inter Visual Studio

De drones van DJI, gebruikt door de Nederlandse politie, zijn vliegende dataslurpers. Zonder toestemming van de gebruiker wordt software geïnstalleerd die persoonlijke gegevens verzamelt.

Naast het Amsterdamse Westerpark is de protestmars Unmute Us!1 een waar festival geworden. Hardstyle-fans staan te hakken en vogue-dansers maken hun poses; verderop woelt zelfs een moshpit. Karren met DJ’s erop rijden langs met hun schare fans erachteraan, voor ieder een eigen dreun en dans.

Aan de rand van de hossende mensenmassa, afgezet met rood-wit lint, staat een politieagent geconcentreerd op een scherm te kijken dat met een tuigje op zijn buik hangt, zo’n negentig meter boven hem zweeft een ‘politiedrone’. De agent-piloot wijst2 op de getallen die langs de randen van het scherm staan: ‘Hier zie je alle informatie: de hoogte, de scherpte van het beeld, de zoomfunctie en de GPS’, in de linkerbovenhoek staat het merk: DJI.

De stoet van mensen en muziekwagens danst langzaam uit beeld en verplaatst zich langs het park richting het centrum3 van de stad. De drone blijft hangen tot de laatste demonstranten uit beeld zijn. ‘We sturen de beelden direct door naar meldkamer van de politie,’ zegt de dronepiloot, ‘maar ook de burgemeester kan op deze manier live meekijken.  Als er wat misgaat, kunnen ze sneller in actie komen’. Met een zoemend geluid landt de drone soepel op zijn poten, de propellers komen langzaam tot stilstand. De agenten pakken hem in en haasten zich richting het eindpunt van de protestmars, om daar snel weer op te stijgen. 

Word nu Vriend van Investico en versterk de onderzoeksjournalistiek in Nederland

Steun ons

Alleen dit jaar al zette de Nederlandse politie ruim duizend4 keer een drone in, de vloot bestaat uit meer dan honderd5 exemplaren. Ze worden ingezet voor het bewaken van de openbare orde, maar bijvoorbeeld ook ter ondersteuning van opsporing.6 Zo vloog er op de avond van de aanslag op Peter R. de Vries een drone7 over de plaats delict. Tijdens de lockdown zweefde er een politiedrone met een megafoon boven de bollenvelden8 om dagjesmensen eraan te herinneren afstand te houden. Ook organisaties als Rijkswaterstaat9 en de NS10 gebruiken drones, bijvoorbeeld voor inspecties. Allemaal vliegen ze met toestellen van hetzelfde merk, het Chinese Da Jiang Innovations (DJI).

DJI is een miljardenbedrijf11 en marktleider12 op het gebied van commerciële drones. De apparaten zijn goedkoop, gebruiksvriendelijk en voor iedere hobbyist of professional bestuurbaar via een app op je smartphone of tablet. Maar het bedrijf heeft ook een ander gezicht, blijkt uit onderzoek van Platform Investico voor Trouw, De Groene Amsterdammer en EenVandaag. Verschillende internationale onderzoeken lieten de afgelopen jaren datalekken en achterdeuren in de software van DJI zien: de apps verzamelden bijvoorbeeld grote hoeveelheden persoonsgegevens en stuurden die naar Chinese servers. Daarnaast konden hackers live meekijken met de dronecamera.13 Als groot Chinees bedrijf is DJI bovendien bij Chinese wet verplicht om data te delen met de Chinese overheid; in 2016 gaf het bedrijf al toe bereid te zijn dat te doen.14

Opmerkelijk is dat het Nederlandse ministerie van Defensie het te riskant vindt om DJI-drones te gebruiken voor operationeel optreden.15 Het risico dat de Chinese overheid inzage heeft in de data is te groot, zegt Defensie. Het Amerikaanse leger kwam in 2017 ook tot die conclusie.16

Desondanks koopt de politie alleen maar meer17 DJI-drones in. Experts zeggen dat overheidsorganisaties voorzorgsmaatregelen moeten treffen om te voorkomen dat gevoelige data in de handen van de Chinese overheid terechtkomt. Toch stelt18 de politie dat ze ‘niet kan uitsluiten dat dronedata op Chinese servers belandt’. 

De angst voor het weglekken van gevoelige data speelt niet alleen bij drones, maar ook bij andere technologie uit China. Des te schrijnender is China zelf veel van die technologie inzet om minderheden te onderdrukken. Zo houden DJI-drones ook gevangen Oeigoeren19 in de gaten.

Achterdeurtjes

‘Ik was echt verbaasd over de hoeveelheid data die DJI verzamelt’, zegt Tiphaine Romand-Latapie.20 Ze is cybersecurity-onderzoeker bij Synacktiv, een Frans bedrijf dat organisaties helpt met hun digitale beveiliging, maar ook op eigen houtje hardware en software onderzoekt op kwetsbaarheden. ‘DJI heeft geen beste reputatie wat betreft dataveiligheid’, zegt ze, ‘dus hebben we vorig jaar onderzocht21 waar al die dronedata naartoe gaat.’

Drones bestaan in allerlei soorten en maten. Amerikaanse Reaper-drones22 zijn bijvoorbeeld onbemande gevechtsvliegtuigen volgehangen met raketten. DJI-drones zijn een stuk vreedzamer: in essentie zijn het kleine onbemande helikopters met een camera eronder. Maar tijdens het vliegen verzamelt zo’n drone niet alleen camerabeelden, de computer slaat ook allerlei data als de vlieghoogte en GPS-coördinaten op. De drone wordt bovendien bestuurd via een app die op een telefoon, tablet, of controller van DJI staat, legt Romand-Latapie uit. ‘De kwetsbaarheid zit dus niet alleen bij de drone zelf, maar vooral bij de app die hem bestuurt: alle data gaat daar doorheen.’ DJI heeft twee verschillende apps:23 eentje voor recreatieve en eentje voor professionele gebruikers. Van allebei onderzochten Romand-Latapie en haar team hoe ze in elkaar zitten, en welke verbindingen ze maken met de buitenwereld.

Daarbij viel ten eerste op dat de DJI-app24 voor recreatieve gebruikers -de zogeheten DJI GO-app- grote hoeveelheden data verzamelde en naar servers van Chinese bedrijven stuurde. ‘Dat ging van de helderheid van het telefoonscherm tot het serienummer van de SIM-kaart en dat van alle andere telefoons in hetzelfde Wifi-netwerk.’ Dat geldt dus voor iedere hobbyist die een drone in de winkel koopt. ‘Als gebruiker heb je geen idee dat die persoonlijke gegevens worden verzameld, en DJI heeft die ook helemaal niet nodig om een drone goed te laten vliegen.’

En dat was niet de enige achterdeur die de cybersecurity-experts vonden. Zowel de recreatieve als de professionele app bevatte een mechanisme25 dat allerlei andere software op de telefoon kan installeren zonder dat de gebruiker het doorheeft. ‘Dat is echt gevaarlijk, DJI krijgt zo in potentie toegang tot alles op dat toestel’, zegt Romand-Latapie.

Bovendien was die mogelijkheid in de app bewust aan het zicht onttrokken: de onderzoekers moesten zich eerst door een doolhof aan digitale versleuteling worstelen voordat ze de achterdeurtjes konden zien. ‘Dat maakt het extra verdacht’, zegt Romand-Latapie. ‘In theorie zouden dit ontwerpfouten kunnen zijn, maar waarom dan zoveel moeite doen om ze te verbergen?’ Synacktiv vond geen bewijs dat DJI de achterdeurtjes ook heeft gebruikt, zegt ze. Maar waarom zou je een doolhof aanleggen, als je geen weet hebt van de deur die erachter zit?

Een ander cybersecurity-bedrijf verifieerde de resultaten van de Franse onderzoekers en kwam tot dezelfde conclusie.26 Volgens DJI27 ging het om ‘typische softwareproblemen’, het bedrijf noemde28 de bevindingen van Synacktiv later ‘misleidend en overdreven’. Romand-Latapie schudt haar hoofd: ‘De functies die we vonden werden wel prompt verwijderd. En zelfs als het een ontwerpfout is, dan is het niet de eerste fout. Zowat elk jaar is er wel weer een nieuw bericht over datalekken bij DJI.’

Hackers hebben toegang tot creditcarddata

Dat klopt. Al in 2017 kreeg de Amerikaanse cybersecurity-onderzoeker Kevin Finisterre29 toegang tot de servers van DJI en vond hij daar30 onversleutelde vluchtgegevens en identiteitsbewijzen van gebruikers. Bovendien vond ook hij een in de DJI-app om software te kunnen installeren zonder de toestemming van de gebruiker, vergelijkbaar met de ontdekking van de Franse onderzoekers. ‘Als het bedrijf ervoor kiest om dat te gebruiken, kunnen ze de gebruiker daarmee langdurig monitoren’, zegt hij.31

In 201832 vonden onderzoekers van het Amerikaans-Israëlische IT-beveiligingsbedrijf Check Point dat de cloud van DJI gemakkelijk te hacken was. ‘Hackers konden via het DJI-platform de accounts van gebruikers kapen en live meekijken33 met de dronecamera’s. En bovendien konden we allerlei gevoelige gegevens inzien, van creditcarddata tot de opnames die de drones bij eerdere vluchten hadden gemaakt’, zegt Oded Vanunu,34 die het onderzoek leidde. Het risico was hier niet zozeer dat DJI toegang had tot al die gegevens, legt hij uit, maar dat iemand van buiten daarbij zou kunnen. ‘Bijvoorbeeld hackers die weer voor een andere overheid werken.’ Een aantal maanden nadat de onderzoekers de kwetsbaarheid aan DJI meldden, loste het bedrijf de problemen op.

Vanunu komt dit soort kwetsbaarheden wel vaker tegen, zegt hij, ook in andere sectoren. Maar dronedata kunnen veel gevoeliger zijn dan bijvoorbeeld iemands browsergeschiedenis. ‘Kwaadwillenden kunnen hiermee inzicht krijgen in vitale processen in een land.’ DJI maakt kwalitatief goede drones, benadrukt hij. Maar als overheidsorganisaties als de Nederlandse politie deze drones operationeel willen zetten, moeten ze ingrijpende voorzorgsmaatregelen moeten treffen. ‘Allereerst moeten ze eigen servers hebben waarop dit soort data wordt opgeslagen. En om zeker te weten dat er geen data weglekt, moeten ze eigenlijk hun eigen besturingsapp ontwikkelen, zodat je niet afhankelijk bent van DJI-software. Dat doen politiekorpsen in andere landen ook.’

Politie experimenteert graag, maar ziet risico’s laat

De Nederlandse politie doet dat niet. Ondanks herhaaldelijke verzoeken35 tot een gesprek, is de politie niet bereid om de afwegingen voor het gebruik van DJI aan ons toe te lichten. De lange lijst schriftelijke vragen wordt op de valreep met korte antwoorden teruggestuurd. Allereerst zegt de politie36 geen drones te gebruiken voor ‘afgeschermde operaties’: ‘soms zetten we om die reden een helikopter in’.

De politie gebruikt daarnaast dus geen eigen apps, maar de software van DJI. Bovendien zegt ze ook gebruik te maken van de GO-app: in die app, dezelfde als van iedere huis-tuin-en-keukenhobbyist vonden de onderzoekers de grootste datalekken.37 De politie kan dan ook ‘niet uitsluiten dat data op Chinese servers belandt. We zijn ons bewust van dit risico.’ Versleuteling van de beelden moet ervoor zorgen dat die data niet verder weglekt.

DJI laat in een schriftelijke reactie38 weten dat al hun producten veilig zijn, ook hoeven gebruikers volgens DJI39 geen data te delen, ook niet met DJI zelf. Over kritische onderzoekers die iets anders vinden, zegt DJI:40 ‘Hun conclusies zijn simpelweg onwaar’. DJI wijst op verschillende onderzoeken die stellen dat de dronedata wel veilig zijn en zegt de uitdaging om ‘bugs’ op te sporen ‘openhartig’ te zijn aangegaan. Het bedrijf doet geen uitlatingen over de afspraken met de Nederlandse politie. Overheden kunnen volgens DJI overigens gebruik maken van een speciale overheids-drone, waarbij de data éxtra beveiligd zou zijn. De Nederlandse politie gebruikt deze overheidseditie niet.

Investico werkt altijd samen met andere media. Zo versterken we de onderzoeksjournalistiek in Nederland.

Lees meer over ons

Via een woordvoerder zegt de politie te hebben kennisgenomen van de verschillende internationale onderzoeken naar kwetsbaarheden van de DJI-drones, maar vaart liever op haar eigen expertise:41 ‘Tot nu toe hebben wij geen datalek vastgesteld’. Alleen als de politie inderdaad zelf een lek vindt, zegt ze het contract met DJI te kunnen ontbinden. 

De politie vliegt al sinds 2016 met DJI,42 dit jaar begon een gegevens-effectbeoordeling om de risico’s in kaart te brengen. Zolang die nog in behandeling is, kan de politie er verder niets over zeggen.43

‘Bescherming van persoonsgegevens is al langer een probleem bij de politie’ zegt Rejo Zenger44 van Bits of Freedom, een stichting die opkomt voor digitale burgerrechten. Zo publiceert de politie beelden van bodycams herleidbaar tot slachtoffers, zegt hij.45 Ook werd onlangs duidelijk dat camera’s voor kentekenregistratie gebruikt werden voor gezichtsherkenning.46 ‘Dat hadden ze van mijlenver moeten zien aankomen, maar de politie is toch iedere keer weer verbaasd als het misgaat’, zegt Zenger. ‘De politie experimenteert graag met nieuwe technologie, maar ziet de problemen pas als ze erop gewezen worden.’

Spionage

Het ministerie van Defensie gebruikt in ieder geval geen DJI-drones voor operationeel optreden, laat een woordvoerder47 weten: ‘De data zijn vaak niet afgeschermd, en staan meestal op servers in China. De eigenaren kunnen worden verplicht om data te leveren aan de Chinese overheid.’ Ook de Amerikaanse overheid neemt het zekere voor het onzekere en houdt sinds 2020 de dronevloot van DJI aan de grond.48 De Japanse regering49 heeft vergelijkbare plannen. 

De Chinese overheid zal niet per se geïnteresseerd zijn in drone-informatie over coronaprotesten, zegt Patrick Bolder die voor onderzoeksinstituut The Hague Centre for Strategic Studies militaire toepassingen van drones onderzoekt.50 ‘Maar alles is mogelijk op het gebied van cyber, en de Chinezen zijn daar goed in. Daar moeten we niet naïef over zijn.’ Ook Rijkswaterstaat gebruikt bijvoorbeeld deze drones om de Deltawerken mee te inspecteren. ‘Nederland is heel erg afhankelijk van de waterwegen’, zegt Bolder. ‘Je wil niet dat een potentiële tegenstander als China precies weet welke sluis of brug ze bijvoorbeeld via een cyberaanval uit moeten schakelen om de scheepvaart te blokkeren.’

‘Ik ken geen gevallen waarin China informatie verzamelde om kritieke infrastructuur in andere landen kapot te maken’, zegt Frans-Paul van der Putten,51 coördinator van het China Centre van onderzoeksinstituut Clingendael. ‘Maar je weet niet welke waarde zulke kennis in de toekomst heeft.’ Vooralsnog doet China volgens Van der Putten vooral aan industriële spionage, om zo een concurrentievoordeel te krijgen ten opzichte van het Westen.

Zo berichtte De Volkskrant52 eerder dit jaar dat het Chinese telecombedrijf Huawei vrije toegang had tot de telefoongesprekken van alle klanten van KPN Mobiel. Het bedrijf ontkent53 alle aantijgingen van spionage, maar wordt door de Nederlandse overheid definitief geweerd ‘uit de kern van het telecomnetwerk’. In februari van dit jaar uitten veiligheidsdeskundigen54 zorgen over de scanapparatuur die op Schiphol en in de Rotterdamse haven wordt gebruikt voor de controle van containers en bagage. De scanners zijn geproduceerd door het Chinese staatsbedrijf Nuctech, dat volgens deskundigen data deelt met de Chinese overheid.

Volgens Van der Putten ontbreekt het aan duidelijke, overheidsbrede criteria om te beslissen om wel of geen Chinese technologie in te kopen. In 201955 schreef het ministerie van Buitenlandse Zaken in de notitie ‘Nederland-China, een nieuwe balans’ dat Chinese economische activiteiten een risico kunnen vormen voor de nationale veiligheid, maar veel specifieker56 wordt het niet. Maar kan je eigenlijk wel van organisaties als de politie of Rijkswaterstaat vragen om zulk soort afwegingen te maken? Hoe moet de afdeling Inkoop van de politie de voordelen van het gebruik van DJI afwegen tegen de risico’s voor de nationale veiligheid? ‘Dat geldt niet alleen voor drones’, zegt van der Putten, ‘maar voor allerlei soorten technologie die data verzamelt.’

Onderdrukking van Oeigoeren

In 2019 lekken dronebeelden57 uit van grote groepen geboeide, geblinddoekte mensen die geknield op de grond zitten, omringd door bewakers. De beelden zijn gemaakt in de West-Chinese provincie Xinjiang, volgens deskundigen58 gaat het om een gevangenentransport van Oeigoeren of andere moslimminderheden. De Chinese overheid heeft in Xinjiang een ongeëvenaard surveillancesysteem opgezet. Naar schatting een miljoen Oeigoeren zitten opgesloten59 in concentratiekampen om ze te ‘heropvoeden’. Voormalig gevangenen vertellen verhalen over systematische verkrachtingen en gedwongen sterilisaties. In de linkerbovenhoek van de gelekte dronebeelden staat een logo: DJI.

De Amerikaanse overheid zette DJI eind 2020 op een zwarte lijst vanwege medeplichtigheid aan het onderdrukken60 van de Oeigoeren. Amerikaanse bedrijven mogen geen componenten meer verkopen aan DJI. Op de vraag hoe de politie de mogelijke bijdrage aan de onderdrukking van minderheden in West-China heeft meegenomen in de overweging om DJI aan te schaffen, is het antwoord61 kort: ‘Niet’.

Het is kenmerkend voor de spagaat waarin Westerse overheden zitten. Lang was het Westen blij met China als de ‘fabriek van de wereld’. Maar ondertussen financiert zij met het kopen van Chinese surveillancetechnologie ook de schending van mensenrechten. DJI is niet het enige bedrijf waarbij dit dilemma speelt. Zo bleek eerder dit jaar het Europees parlement vol te hangen met camera’s en temperatuurmeters van het Chinese bedrijf Hikvision,62 dat ook de bewakingscamera’s levert voor de West-Chinese strafkampen. En telecombedrijf Huawei zou volgens de Washington Post gezichtsherkenningsoftware hebben getest die bij een Oeigoers uitziend gezicht een automatisch alarm63 naar de Chinese veiligheidsdiensten stuurde.

‘We weten nog steeds niet wat we willen met China’, zegt Clingendael-onderzoeker Van der Putten. ‘Is het een concurrent, een tegenstander, of zelfs een vijand? De Nederlandse overheid heeft daar geen duidelijk idee over. En de EU eigenlijk ook niet.’

100 tot 120.

Bovenstaande operaties worden uitgevoerd met DJI-producten. Voor afgeschermde operaties zetten we ze niet in. Wij maken heel bewust afwegingen bij de inzet van (type) drones.

De politie gebruik zowel Android als IOS als besturingssysteem. -Welke app gebruikt de politie om de DJI-drones te besturen? Er worden verschillende apps gebruikt om de DJI drones te besturen. - Komt het voor dat de DJI GO app wordt ingezet door de politie, of door dronepiloten die door

de politie worden ingehuurd? Ja het komt voor dat de politie de DJI Go app gebruikt. De politie huurt geen piloten in. - Heeft de politie een account bij de DJI Flighthub? Nee de politie heeft geen account bij DJI Flighthub. - Heeft de politie eigen firmware of een eigen app ontwikkeld om de DJI-drones te besturen? Zo nee, waarom niet? Nee de politie heeft geen eigen firmware of een andere app ontwikkeld om DJI drones te besturen. De noodzaak daarvoor is tot op heden niet gebleken.

Niet.

  1. Protestmars Unmute Us!vond plaats op 11 september 2021 bij het Westerpark 

  2. Functies van de DJI Matrice 300, ook te zien op de DJI website. 

  3. Route van protestmars Unmute Us! 

  4. Blijkt uit reactie van de politiewoordvoerder Mireille Beentjes: In 2021 zijn door de politie 1053 keer drones ingezet. 

  5. Blijkt uit reactie van de politiewoordvoerder Mireille Beentjes: Hoeveel drones heeft de politie? 

  6. Blijkt uit reactie van de politiewoordvoerder Mireille Beentjes: Voor welke doelen zet de politie de drones in? Voor opsporings- en openbare orde doelen. Het vastleggen van plaatsen delict, plaatsen ongeval, en toezicht houden bij demonstraties en grote evenementen. 

  7. Blijkt uit dit filmpje op Twitter en dit artikelvan het Algemeen Dagblad. 

  8. Blijkt uit opnames van OmroepWest. 

  9. Blijkt uit berichtgeving van Rijkswaterstaat zelf en een interview met Arie van Kersen van de werkgroep Drones bij de afdeling Grote Projecten en Onderhoud (GPO) op 6 september 2021. 

  10. Blijkt uit berichtgevingvan de NOS. 

  11. Blijkt uit een profiel van Frank Wang over zijn bedrijf DJI in Forbes

  12. Blijkt uit dit artikel van Bloomberg

  13. Blijkt uit onderzoek van Check Point (2018): This could have provided access to: A live camera view and map view during drone flights, if a DJI user were using DJIs FlightHub flight management software. 

  14. Drone-Maker DJI willing to share data with China - Bloomberg (2016) 

  15. Blijkt uit mailwisseling met woordvoering van Defensie: De data daarvan zijn vaak niet afgeschermd en staan meestal op servers in China. Die eigenaren kunnen verplicht worden om data te leveren aan de overheid. Daarom is gebruik hiervan meestal niet mogelijk bij operationeel optreden. En blijkt ook uit het Defensie Magazine (2020). 

  16. Blijkt uit dit artikelvan Reuters uit 2017: U.S. Army halts use of Chinese-made drones over cyber concerns. 

  17. Blijkt uit dit nieuwsberichtvan de NOS, dit bericht op aanbestedingswebsite TenderApp en deze marktconsultatie die de politie heeft uitgezet. 

  18. Blijkt uit reactie van politiewoordvoerder Mireille Beentjes: Door versleuteling van de beelden kan deze data niet anderszins weglekken. De politie kan niet uitsluiten dat toesteldata op Chinese servers belandt. We zijn ons van dit risico bewust. Tot nu toe hebben we geen datalek vastgesteld. 

  19. Blijkt uit dit Youtube-filmpje, gemaakt op 17 september 2019. 

  20. Blijkt uit een interview met onderzoeker Tiphaine Romand-Latapie op 28 juli 2021. 

  21. Blijkt uitdit onderzoek van Synacktiv uit juli 2020. 

  22. Uitgebreide omschrijving van de Amerikaanse Reaper drones. 

  23. De DJI GO-app voor recreatieve gebruikers en de DJI-Pilot app, voor professionele gebruikers. 

  24. Uitgebreide uitleg van de GO-App 

  25. Volledige uitleg van het mechanisme wat door Synacktiv gevonden werd: After de-obfuscation, our research located two features of the software that call home and wait for a file that orders the user’s phone to install a forced update or install a new software. This mechanism is very similar to command and control servers encountered with malwares. Given the wide permissions required by DJI GO 4 5 (access contacts, microphone, camera, location, storage, change network connectivity, etc.), the DJI or Weibo Chinese servers have almost full control over the users phone. Blijkt uit onderzoek van Synacktiv. 

  26. Blijkt uit dit herhaal-onderzoek van het Amerikaanse cybersecurity-bedrijf GRIMM: DJI Privacy Analyses: Given the recent controversy with DJI drones, a defense and public safety technology vendor sought to investigate the privacy implications of DJI drones within theAndroid DJI GO 4 application. To conduct their analysis, the vendor partnered with Synacktiv who performed an in-depth dynamic and static analysis of the application

  27. Blijkt uit dit statement van DJI. 

  28. Blijkt uit dit statement van DJI: DJI Statement on further misleading claims about app security 

  29. Blijkt uit dit papervan Kevin Finisterre uit 2017. 

  30. I had let them known about the fact I had seen unencrypted flight logs, passports, drivers licenses, and Identification Cards, schrijft Kevin Finisterre in zijn paper. 

  31. Blijkt uit een mailwisseling met Kevin Finisterre op 4 augustus 2021 

  32. Blijkt uit dit onderzoek van Check Pointop 8 november 2018. 

  33. A live camera view and map view during drone flights, if a DJI user were using DJIs FlightHub flight management software - Citaat uit onderzoek van Check Point. 

  34. Blijkt uit een interview met Oded Vanunu op 14 september 2021: We could access everything, from credit card data to everything stored on Flight Hub. Over Flight hub zeggen ze online: Flight logs, photos and videos generated during drone flights, if a DJI user had synced them with DJI’s cloud servers. (Flight logs indicate the exact location of a drone during its entire flight, as well as previews of photos and videos taken during the flight.) 

  35. Op dinsdag 13 juli stuurde Emiel Woutersen het eerste verzoek voor een interview. Op 8 september het tweede verzoek, met Tjeerd Tiedemann. Op 13 september achteraan gebeld, toen nog een keer gemaild. Toen niets meer gehoord. Uiteindelijk schriftelijke reactie gekregen op 21-09-2021. 

  36. Blijkt uit reactie van politiewoordvoerder Mireille Beentjes: Zijn al die drones van DJI-makelij? 

  37. Blijkt uit reactie van politiewoordvoerder Mireille Beentjes: Welk besturingssysteem gebruikt de politie om de drones te besturen? Android of iOS? 

  38. Blijkt uit schriftelijke reactie van DJI (download PDF onderaan artikel) 

  39. Blijkt uit schriftelijke reactie DJI: Speaking generally, however, DJI products are designed and built so customers do not have to share any of their data with anyone – including DJI

  40. Blijkt uit schriftelijke reactie van DJI: A wide range of independent security validations, from government agencies as well as private cybersecurity firms, have confirmed that DJI products are built with robust safeguards for data integrity. We are aware of critics and competitors who have claimed otherwise; simply put, their claims are false. 

  41. Blijkt uit reactie van politiewoordvoerder Mireille Beentjes (download PDF onderaan artikel) 

  42. Blijkt uit dit artikel van BNR op 22 april 2016. 

  43. Blijkt uit een schriftelijke reactie van de politie op 21-09-2021. 

  44. Blijkt uit een telefonisch interview met Rejo Zenger op 13-09-2021. 

  45. Blijkt uit dit artikel van Bits of Freedom van 06-08-2017. 

  46. Blijkt uit dit artikel van het NRC op 09-08-2021. 

  47. Blijkt uit een schriftelijke reactie van de woordvoering van Defensie op 3 augustus 2021 : Vanuit beveiligingsoverwegingen doen we nooit uitspraken over beveiligingsmaatregelen die aan bepaalde keuzes ten grondslag liggen. Wel kan in het algemeen iets worden gezegd over de risicos van Chinese fabrikanten (zoals DJI). De data daarvan zijn vaak niet afgeschermd en staan meestal op servers in China. Die eigenaren kunnen verplicht worden om data te leveren aan de overheid. Daarom is gebruik hiervan meestal niet mogelijk bij operationeel optreden, maar dat sluit niet uit dat dergelijke drones voor andere doeleinden binnen Defensie wel gebruikt kunnen worden. Denk hierbij aan het maken van luchtopnames van trainingen of evenementen. 

  48. Blijkt uit dit artikelvan The Verge van 23-12-2020, The government blacklisted DJI drones. 

  49. Blijkt uit dit artikel van de JapanTimes van 30-10-2020. 

  50. Blijkt uit een telefonisch interview met Patrick Bolder (HCSS) op 03-09-2021. 

  51. Blijkt uit een interview met Frans Paul van der Putten op 6 september 2021 

  52. Blijkt uit dit artikel van de Volkskrant van 21-04-2021. 

  53. Blijkt uit dit artikelvan het Financieele Dagblad van 21-05-2021. 

  54. Blijkt uit deze berichtgeving van de NOS uit 06-2020. 

  55. 15 mei 2019 verscheen dit rapport: Nederland-China een nieuwe balans

  56. Ten behoeve van onze nationale veiligheid worden risicos van Chinese activiteiten in de Nederlandse economie, zoals investeringen, tijdig gesignaleerd, geanalyseerd en beheersbaar gemaakt. Blijkt uit ditrapport. 

  57. Blijkt uit dit Youtube-filmpje, gemaakt op 17 september 2019, waarop beelden van geboeide Oeigoeren te zien zijn. 

  58. Volgens dit artikel van The Guardian (23-09-2020) en dit artikel (24-09-2020) van The Australian gaat het om Oeigoeren in Xinjiang. 

  59. De Chinese overheid spreekt structureel over re-eduction camps. Zie bijvoorbeeld dit artikel van de BBC. 

  60. Blijkt uit onder meer deze berichtgeving van Reuters van 18-12-2020. 

  61. Blijkt uit een reactie van de politiewoordvoerder Mireille Beentjes: DJI is door de Amerikaanse overheid op een zwarte lijst geplaatst vanwege haar bijdrage aan de onderdrukking van Oeigoeren in West-China. Hoe speelt de surveillance door DJI in West-China mee bij de beslissing van de politie om DJI-apparatuur in te zetten en in 2020 de dronevloot uit te breiden? 

  62. Blijkt uit dit artikel van het Parool en deze berichtgeving van PNWS. 

  63. Blijkt uit dit artikel van The Washington Post van 08-12-2020. 

Wilt u onafhankelijke onderzoeksjournalistiek ondersteunen? Word Vriend van Investico

Romy van der Burgh

Romy van der Burgh is stafredacteur bij Investico en doet onderzoek naar georganiseerde misdaad, financiële criminaliteit, corruptie, politiek en justitie.

Emiel Woutersen

Emiel Woutersen is stafredacteur bij Investico, en focust zich op datajournalistiek.

U las de longread van dit onderzoek. Heeft u naar aanleiding hiervan een tip? Neem contact met ons op

Onafhankelijke onderzoeksjournalistiek is onmisbaar in een democratie. Word nu Vriend van Investico en versterk de onderzoeksjournalistiek in Nederland.

Word vriend