據(jù)國外媒體報道,目前有相關(guān)人士發(fā)現(xiàn)了大疆漏洞,而作為Bug Bounty計劃的一部分,DJI已經(jīng)同意向多個安全研究人員支付總額超過3萬美元的獎金。
雖然目前還沒有支付任何款項,但從數(shù)名研究人員口中證實,他們的目前上報的大疆軟件漏洞錯誤報告是準(zhǔn)確的。而他們現(xiàn)在已經(jīng)將個人銀行信息交給了DJI,只待獎金到賬。而其中這個獎金至少包括一個3萬美元的“最高獎勵”。
近年,由于各地黑飛無人機,造成了許多負(fù)面影響。世界各地對于無人機發(fā)展的態(tài)度開始變得并非那么友善。雖然后來大疆開始對其產(chǎn)品使用進行了限制,但是還是存在著諸多威脅。如黑客可以推翻其地理防護系統(tǒng)或電子圍欄,沖破大疆對其限制。而美國陸軍和澳大利亞軍方也因“網(wǎng)絡(luò)漏洞”而停止使用DJI設(shè)備。
今年8月,針對公眾關(guān)注的安全問題,也為了提升自身軟件安全性,大疆發(fā)起了大疆威脅識別獎賞計劃(DJI Threat Identification Reward Program)。DJI鼓勵研究人員發(fā)現(xiàn)、披露和修復(fù)會影響DJI軟件資安的漏洞,首次推出正式的溝通程序,接受資安研究員、學(xué)者、獨立專家等分析DJI軟件編碼,并會回報可能釀成以下情況的問題:
威脅用戶隱私信息,如個人資料、圖像細節(jié)、飛行記錄;令app癱瘓;影響飛行安全,如地理圍欄、高度限制、電力警告。
大疆回復(fù)
根據(jù)威脅的潛在影響,大疆對確認(rèn)缺陷的獎勵從100美元到3萬美元不等。而據(jù)國外媒體披露,DJI正在開發(fā)一個網(wǎng)站,提供完整的程序條款和標(biāo)準(zhǔn)格式,用于報告與DJI的服務(wù)器、應(yīng)用程序或硬件有關(guān)的潛在威脅。而目前bug報告可以發(fā)送到bugbounty@dji.com,供技術(shù)專家審閱。
而從此次發(fā)現(xiàn)的漏洞獎金金額來看,此次上報的漏洞應(yīng)該屬于層級較高的重大漏洞。而至于具體的漏洞是什么,到底這是方面的安全漏洞值得如此獎勵,真是令人好奇。同時也不知道大疆是否會公開這一漏洞情況,以及將如何應(yīng)對這些漏洞。