據(jù)國外媒體報(bào)道,目前有相關(guān)人士發(fā)現(xiàn)了大疆漏洞,而作為Bug Bounty計(jì)劃的一部分,DJI已經(jīng)同意向多個(gè)安全研究人員支付總額超過3萬美元的獎(jiǎng)金。
雖然目前還沒有支付任何款項(xiàng),但從數(shù)名研究人員口中證實(shí),他們的目前上報(bào)的大疆軟件漏洞錯(cuò)誤報(bào)告是準(zhǔn)確的。而他們現(xiàn)在已經(jīng)將個(gè)人銀行信息交給了DJI,只待獎(jiǎng)金到賬。而其中這個(gè)獎(jiǎng)金至少包括一個(gè)3萬美元的“最高獎(jiǎng)勵(lì)”。
近年,由于各地黑飛無人機(jī),造成了許多負(fù)面影響。世界各地對于無人機(jī)發(fā)展的態(tài)度開始變得并非那么友善。雖然后來大疆開始對其產(chǎn)品使用進(jìn)行了限制,但是還是存在著諸多威脅。如黑客可以推翻其地理防護(hù)系統(tǒng)或電子圍欄,沖破大疆對其限制。而美國陸軍和澳大利亞軍方也因“網(wǎng)絡(luò)漏洞”而停止使用DJI設(shè)備。
今年8月,針對公眾關(guān)注的安全問題,也為了提升自身軟件安全性,大疆發(fā)起了大疆威脅識別獎(jiǎng)賞計(jì)劃(DJI Threat Identification Reward Program)。DJI鼓勵(lì)研究人員發(fā)現(xiàn)、披露和修復(fù)會影響DJI軟件資安的漏洞,首次推出正式的溝通程序,接受資安研究員、學(xué)者、獨(dú)立專家等分析DJI軟件編碼,并會回報(bào)可能釀成以下情況的問題:
威脅用戶隱私信息,如個(gè)人資料、圖像細(xì)節(jié)、飛行記錄;令app癱瘓;影響飛行安全,如地理圍欄、高度限制、電力警告。
大疆回復(fù)
根據(jù)威脅的潛在影響,大疆對確認(rèn)缺陷的獎(jiǎng)勵(lì)從100美元到3萬美元不等。而據(jù)國外媒體披露,DJI正在開發(fā)一個(gè)網(wǎng)站,提供完整的程序條款和標(biāo)準(zhǔn)格式,用于報(bào)告與DJI的服務(wù)器、應(yīng)用程序或硬件有關(guān)的潛在威脅。而目前bug報(bào)告可以發(fā)送到bugbounty@dji.com,供技術(shù)專家審閱。
而從此次發(fā)現(xiàn)的漏洞獎(jiǎng)金金額來看,此次上報(bào)的漏洞應(yīng)該屬于層級較高的重大漏洞。而至于具體的漏洞是什么,到底這是方面的安全漏洞值得如此獎(jiǎng)勵(lì),真是令人好奇。同時(shí)也不知道大疆是否會公開這一漏洞情況,以及將如何應(yīng)對這些漏洞。