據(jù)國(guó)外媒體報(bào)道,目前有相關(guān)人士發(fā)現(xiàn)了大疆漏洞,而作為Bug Bounty計(jì)劃的一部分,DJI已經(jīng)同意向多個(gè)安全研究人員支付總額超過(guò)3萬(wàn)美元的獎(jiǎng)金。
雖然目前還沒(méi)有支付任何款項(xiàng),但從數(shù)名研究人員口中證實(shí),他們的目前上報(bào)的大疆軟件漏洞錯(cuò)誤報(bào)告是準(zhǔn)確的。而他們現(xiàn)在已經(jīng)將個(gè)人銀行信息交給了DJI,只待獎(jiǎng)金到賬。而其中這個(gè)獎(jiǎng)金至少包括一個(gè)3萬(wàn)美元的“最高獎(jiǎng)勵(lì)”。
近年,由于各地黑飛無(wú)人機(jī),造成了許多負(fù)面影響。世界各地對(duì)于無(wú)人機(jī)發(fā)展的態(tài)度開(kāi)始變得并非那么友善。雖然后來(lái)大疆開(kāi)始對(duì)其產(chǎn)品使用進(jìn)行了限制,但是還是存在著諸多威脅。如黑客可以推翻其地理防護(hù)系統(tǒng)或電子圍欄,沖破大疆對(duì)其限制。而美國(guó)陸軍和澳大利亞軍方也因“網(wǎng)絡(luò)漏洞”而停止使用DJI設(shè)備。
今年8月,針對(duì)公眾關(guān)注的安全問(wèn)題,也為了提升自身軟件安全性,大疆發(fā)起了大疆威脅識(shí)別獎(jiǎng)賞計(jì)劃(DJI Threat Identification Reward Program)。DJI鼓勵(lì)研究人員發(fā)現(xiàn)、披露和修復(fù)會(huì)影響DJI軟件資安的漏洞,首次推出正式的溝通程序,接受資安研究員、學(xué)者、獨(dú)立專(zhuān)家等分析DJI軟件編碼,并會(huì)回報(bào)可能釀成以下情況的問(wèn)題:
威脅用戶隱私信息,如個(gè)人資料、圖像細(xì)節(jié)、飛行記錄;令app癱瘓;影響飛行安全,如地理圍欄、高度限制、電力警告。
大疆回復(fù)
根據(jù)威脅的潛在影響,大疆對(duì)確認(rèn)缺陷的獎(jiǎng)勵(lì)從100美元到3萬(wàn)美元不等。而據(jù)國(guó)外媒體披露,DJI正在開(kāi)發(fā)一個(gè)網(wǎng)站,提供完整的程序條款和標(biāo)準(zhǔn)格式,用于報(bào)告與DJI的服務(wù)器、應(yīng)用程序或硬件有關(guān)的潛在威脅。而目前bug報(bào)告可以發(fā)送到bugbounty@dji.com,供技術(shù)專(zhuān)家審閱。
而從此次發(fā)現(xiàn)的漏洞獎(jiǎng)金金額來(lái)看,此次上報(bào)的漏洞應(yīng)該屬于層級(jí)較高的重大漏洞。而至于具體的漏洞是什么,到底這是方面的安全漏洞值得如此獎(jiǎng)勵(lì),真是令人好奇。同時(shí)也不知道大疆是否會(huì)公開(kāi)這一漏洞情況,以及將如何應(yīng)對(duì)這些漏洞。