Die 249 Gramm leichte DJI Mavic Mini wurde Ende Oktober 2019 als Nachfolger der Foto-Drohne DJI Spark vorgestellt. Durch ihr geringes Gewicht ist sie von vielen gesetzlichen Regularien, wie der deutschen Drohnenverordnung oder der behördlichen Registrierung in den USA nicht betroffen. Nichtsdestotrotz hat DJI bei den Features nicht gespart. Ob die Sicherheit beim Design einen ähnlichen Stellenwert hatte, wie das grammgenaue Einhalten der Gewichtsklasse, werden wir im folgenden Testbericht herausfinden.
Das eigentlich für 2020 geplante europäische Drohnengesetz wurde unter Vorbehalt auf das Jahr 2021 verschoben. Dieses Gesetz sieht, ähnlich zur deutschen Drohnenverordnung vor, die Nutzung von Drohnen je nach Gewicht zu reglementieren. Dank des geringen Gewichts von 249 Gramm fällt die DJI Mavic Mini in die niedrigste Kategorie der Verordnung (C0, maximal 250 Gramm) und ist daher nur von wenigen Einschränkungen betroffen, muss beispielsweise nicht mit einer Plakette versehen oder bei einer Behörde registriert werden.
Technische Daten
Seit 2012 produziert DJI (Da-Jiang Innovations Science and Technology Co., Ltd) Drohnen für den Massenmarkt, angefangen mit der Phantom-, später dann mit der Mavic-Reihe, zu der auch die Mini gehört.
Sie verfügt neben einem 3-Achsen-Gimbal und einer 12 Megapixel-Kamera über eine maximale Auflösung von 2,7k bei 30 Bildern/Sekunde bzw. FullHD bei 60 Bildern/Sekunde. GPS, Glonass und Schwebesensoren sind zur Positionierung im Innen- und Außenbereich integriert. Im eingefalteten Zustand misst sie 140 x 82 x 57 Millimeter. Fernbedienung und Drohne kommunizieren bei unserem Modell über 5,8Ghz, internationale Modelle unterstützen teilweise auch das 2,4Ghz Band. Hierdurch ergeben sich unterschiedliche Reichweiten. (EU-Version: 500m, International teilweise 2000m bzw. bis zu 4000m)
Der 2400mAH Akku ermöglicht Flüge bis zu 30 Minuten und eine maximale Geschwindigkeit von etwa 47 km/h.
Setup
Nach dem Einschalten von Fernbedienung und Drohne kann diese mit einem DJI-Konto gekoppelt werden. Ohne Registrierung sind sowohl Reichweite als auch Flughöhe begrenzt, wie weit, wird nicht näher spezifiziert, weiterhin werden die Gründe hierfür nicht genannt.
Das nach dem Koppeln heruntergeladene Firmware-Update wurde über eine TLS1.2-verschlüsselte Verbindung heruntergeladen. Firmware-Updates müssen für alle System-Komponenten (Drohne, Fernsteuerung, Akkus) einzeln vorgenommen werden. Weiterhin wurden Daten für Flugverbotszonen automatisch heruntergeladen und eingerichtet.
Die Verbindung zwischen Fernsteuerung und Drohne erfolgte bei unserem Modell auf einem automatisch ausgewählten 5,8Ghz Frequenzband. Dieses liegt im oberen Frequenzspektrum von 5Ghz WLAN.
App
Die DJI Fly App (Android, iOS) wurde speziell für die Mavic Mini und Mavic Air 2 neu entwickelt. Reverse-Engineering wird durch Obfuskierung und die Implementation des SecNeo-Frameworks erschwert bzw. in weiten Teilen auch wirksam verhindert.
Die App speichert sehr detaillierte Informationen über den Flugbetrieb der Drohne. Diese sind im „öffentlichen“ Speicher (/sdcard) des Smartphones abgelegt, somit auch für andere Apps lesbar. Auch wenn diese Dateien verschlüsselt sind, können sie mit wenig Aufwand und frei verfügbarer Software in lesbare Formate konvertiert werden. Die Log-Dateien enthalten unter anderem Informationen über die GPS-Koordinaten der Drohne, die Anzahl von Satelliten (GPS), Daten des Barometers, des Beschleunigungs- und Gyro-Sensors etc.
Bei einem Garantiefall kann mit Hilfe der Protokolle detailliert nachgesehen werden, ob technisches Versagen vorlag oder ein Steuerfehler passierte. Neben den Protokollen speichert die App im selben Speicherbereich auch die über die Fernsteuerung gestreamten Videos (720p) ab.
Online-Kommunikation
Im Rahmen des Tests war die Online-Kommunikation der DJI App stets TLS1.2-verschlüsselt. Einige Verbindungen, wie beispielsweise zu Firmware-Update-Servern von DJI sind neben der einfachen Zertifikatsvalidierung durch Certificate Pinning geschützt. Hierdurch sind sie wirksam gegen Man-in-the-Middle-Attacken abgesichert. Die hauptsächliche Kommunikation findet zu Amazon Cloudfront statt. Weiterhin werden DJI-Server und Analysedienste von Google kontaktiert.
Firmware
Die DJI Fly App prüft regelmäßig auf Firmware-Updates, diese sind für die Fernsteuerung an sich sowie Drohne und Akkus verfügbar. Sie werden über TLS1.2-verschlüsselte und per Certificate Pinning besonders geschützte Verbindungen heruntergeladen, die meisten Daten sind selbst aber nicht verschlüsselt. Im Netz finden sich einige Open-Source Projekte, die sich die Anpassung der Firmware, unter anderem hinsichtlich Herstellerbeschränkungen (bspw. verminderte Reichweite im EU-Raum) zur Aufgabe gemacht haben. Auf eine Verlinkung verzichten wir bewusst, da durch solche Änderungen gesetzliche Grenzwerte überschritten werden können.
Die Firmware kann auch via USB aktualisiert werden, hierzu ist dann auf dem PC/Mac die Installation des DJI Assistant erforderlich. Hier kann dann eine bestimmte Firmware-Version aufgespielt werden.
Datenschutz
Die allgemeine Datenschutzerklärung von DJI (Stand 11.09.2019) informiert den Nutzer bzw. interessierten Käufer über einige wichtige Themen, lässt vereinzelte Fragen allerdings unbeantwortet. Die Datenspeicherung bzw. -verarbeitung erfolgt weltweit. Im Rahmen des Tests wurde eine hauptsächliche Kommunikation in Richtung USA festgestellt.
Die App überlässt dem Besitzer vergleichsweise viel Möglichkeiten zur Selbstbestimmung im Bereich Datenschutz. So kann er beispielsweise festlegen, ob aufgezeichnete Flüge oder andere Diagnose-Informationen an DJI gesendet werden sollen. Wie lange diese Daten gespeichert werden, wird allerdings nicht beantwortet.
Informationen über integrierte Tracker vermissen wir allerdings in der Datenschutzerklärung. Laut statischer Analyse sind Google Firebase und Crashlytics integriert. Mapbox wird ebenfalls nicht erwähnt, auch wenn mit dem Kartendienst kommuniziert wurde.
Der Punkt, der uns im Bereich Datenschutz irritiert, ist der „optionale Account-Zwang“. Zwar kann die Drohne ohne Registrierung bei DJI genutzt werden, aber nur mit Limitierungen in Flughöhe und Reichweite. Außerdem ist eine Meldung nahezu dauerhaft sichtbar, dass man die Drohne ohne Account benutzt. Dies führt über kurz oder lang dazu, dass der Besitzer einen Account anlegt und somit im Regelfall sämtliche Flugdaten des Geräts auf sich registriert.
Fazit
DJI hat mit der Mavic Mini eine leichte und hochwertige Drohne auf den Markt gebracht, die sich auch in puncto Sicherheit nicht verstecken muss. Neben der verschlüsselten Internetkommunikation und gut geschützten App bietet sie dem Nutzer auch im Bereich Datenschutz gute Einstellmöglichkeiten. Nichtsdestotrotz sollte DJI den indirekten Account-Zwang noch einmal überdenken.