Et uavhengig amerikansk cybersikkerhetsselskap brukte fem måneder på å forsøke å knekke, avlytte og manipulere DJI-droner — og kom tomhendt tilbake. Revisjonen, som ble offentliggjort 28. mai 2026, kan bli et vendepunkt i den politisk betente debatten om DJI i USA. Les mer hos DroneXL.
Hva ble testet — og hvordan?
Cybersikkerhetsselskapet OnDefend, bemannet av tidligere militære og statlige sikkerhetseksperter, fikk i oppdrag å gjennomføre en uavhengig vurdering av to av DJIs nyeste systemer: den dobbeltlinse-utstyrte DJI Air 3S med RC 2-kontroller og den bedriftsorienterte DJI Matrice 4E med RC Plus 2 Enterprise-kontroller. Testdronene ble kjøpt fra vanlige forhandlere og lager uten forhåndsvarsel til DJI — altså ingen mulighet for produsenten til å klargjøre spesielle enheter.
Vurderingen pågikk fra oktober 2025 til mars 2026 og dekket tre hovedområder: datasovereignitet, maskinvaresårbarhet og dronemanipulasjonsrisiko. Ifølge DroneXL inkluderte programvaretestingen statisk og dynamisk analyse av DJI Fly- og Pilot 2-applikasjonene, nettverkstrafikk-analyse og fiendtlige simuleringer som mann-i-midten-angrep, sertifikatbypass, rettighetsskalering og jailbreak-forsøk. På maskinvaresiden ble det gjennomført fullspektrum RF-skanning fra 1 MHz til 6 GHz, kretskort-demontering, komponentanalyse og RF-utnyttingstesting som replay-angrep, jamming og injeksjonsangrep.
Som dronedj.com oppsummerer det: «De prøvde hardt å knekke disse dronene.»
Nullfunn på det som teller mest
Resultatet var slående: null kritiske, høye eller middels alvorlige sikkerhetsfunn. OnDefend rapporterte ingen bevis for dataoverføring utenfor USA, ingen bakdører eller uautoriserte fjerntilgangsmekanismer, ingen uforklarte radiofrekvensemisjoner og ingen tegn på forsyningskjedekompromittering eller uautoriserte maskinvaremodifikasjoner. Kontrollerne motstod også jailbreak- og firmwaremodifiseringsforsøk.
suasnews.com rapporterer at selv om noen radioemisjoner ikke var inkludert i produsentens innleveringer ved starten av vurderingen, ble de senere bekreftet å være forventede artefakter av dokumenterte signalsyntetiseringsmetoder — og endret seg i direkte korrelasjon med kjente driftstilstander. Med andre ord: ingenting skjult.
Det ble identifisert ti lavrisikofunn og tretten observasjoner. Disse gjaldt primært applikasjonssikkerhetskonfigurasjoner, sesjonsbehandling og trådløs herding — blant annet vedvarende cross-site scripting, svake TLS-protokoller og eksponerte autentiseringstokener i URL-er. Et standard delt passord ble også avdekket, men ifølge suasnews.com ble dette raskt patchet av DJI via en firmwareoppdatering. Assessorene konkluderte med at ingen av disse svakhetene utgjorde en realistisk risiko for sikker droneoperasjon.
Den politiske kampen er ikke over
DJI bruker funnene aktivt i sin pågående anke mot inkluderingen på FCCs såkalte «Covered List» fra desember 2025 — en liste over selskaper som anses å utgjøre en nasjonal sikkerhetsrisiko. Som DroneXL påpeker, er dette en del av en bredere politisk prosess der tekniske funn og politiske beslutninger ikke nødvendigvis følger hverandre.
Her er det viktig å merke seg en vesentlig begrensning som OnDefend selv understreker: dette var en punktvurdering. Fremtidige programvare- eller firmwareendringer vil kreve ny gjennomgang. Revisjonen sier altså noe om disse dronene slik de var konfigurert i testperioden — ikke om hva DJI eventuelt kan gjøre i fremtiden.
dronedj.com stiller det politisk ubehagelige spørsmålet som henger i luften: Hvis USA presser DJI ut, hvem erstatter dem realistisk sett i samme skala og til samme pris? Det finnes foreløpig ingen åpenbare svar, og det gjør debatten enda mer komplisert enn en ren sikkerhetsanalyse kan løse.
Hva betyr dette for norske dronepiloter?
For norske dronepiloter har DJI-debatten i USA vært noe man har fulgt med ett øye — men den har ikke hatt direkte konsekvenser for hva du kan kjøpe eller fly her hjemme. I Norge og EU reguleres droner gjennom EASA-regelverket, og verken Luftfartstilsynet eller EASA har innført tilsvarende restriksjoner mot DJI-produkter. Du kan fortsatt kjøpe, registrere og fly DJI-droner i alle EASA-kategorier som normalt, forutsatt at du følger gjeldende droneregler i Norge.
Det OnDefend-revisjonen likevel betyr for deg som norsk pilot, er at du nå har et solid, uavhengig teknisk dokument å vise til dersom noen stiller spørsmål ved sikkerheten til DJI-utstyret ditt — enten det er en oppdragsgiver, en kommune eller en arbeidsgiver. Revisjonen er gjennomført av et selskap uten kommersielle bånd til DJI, med metodikk som tåler faglig gransking.
Skulle EU eller EASA på et tidspunkt vurdere lignende restriksjoner som FCC, vil denne rapporten sannsynligvis bli et sentralt dokument i den prosessen. Inntil videre er situasjonen uendret for norske operatører — men det er lurt å følge med på hvordan den amerikanske FCC-saken utvikler seg. Se også vår tidligere sak om Autel som kjemper mot FCC-svartelisting for å forstå den bredere konteksten.
Kilde: DroneXL