本周一,大疆宣布启动漏洞奖励计划,意在奖励任何发现软件漏洞的人员,奖励金额在100到30000美元之间,大疆表示会建立专门的网站来介绍漏洞奖励计划的详细条款和提交漏洞的格式,感兴趣的研究人员可以直接将漏洞报告提交给公司。
大疆表示:
漏洞奖励计划旨在保护用户的个人数据,比如用户的个人信息,照片,视频,还有飞行记录。漏洞范围包括安全漏洞,隐私威胁,还有简单的应用程序崩溃。还有那些影响安全飞行的问题,比如限飞区,飞行高度限制,还有电源警告的问题等。
大疆在以前并没有给安全研究人员提供一个可以交流安全问题的平台,当研究人员不知道这些发现的安全问题如何引起大疆的注意时,他们只能在社交媒体或其他论坛上告知我们。
美军:大疆产品上存在漏洞,很难符合绝对安全的标准
值得注意的是,在推出漏洞奖励计划的不久前,sUAS News网站获得的一份备忘录显示,美国军队将立即停止使用大疆无人机。
备忘录内容表示大疆无人机有安全漏洞:
由于越来越感觉到大疆产品存在网络漏洞,要求美国军队停止使用所有大疆的产品。
早在今年 5 月,sUAS News网站发表了一篇文章,其主题为大疆无人机的安全问题。文章指出,按照大疆无人机搭载的DJI GO 4 应用的默认设置,包括遥测数据、视频和音频在内的飞行记录的细节将上传至位于美国、中国大陆和香港地区的服务器。然而美国军方是不会允许在不知情的情况下将其飞行细节上传至DJI服务器,因此最近发现的安全漏洞可能足以让美国军方重新考虑是否使用大疆的技术。
大疆回应:被“封杀”,感到十分惊讶和失望
就美军封杀事件,大疆的一位发言人称:
就美国军方限制大疆无人机的使用的报道,我们感到惊讶和失望,因为在他们做出该决定的过程中没有征询我们的意见。我们很高兴与包括美国军队在内的任何组织直接合作,它们可能对我们如何管理网络方面的问题有所担忧。我们将与美国军方联系,以确认备忘录的内容,并了解‘网络安全漏洞’具体指的是什么。
其实在今年8月,大疆宣布了将在9月份向无人机推送安全更新,增加新的隐私模式,在该模式下,无人机将不能联网工作,与网络之间的数据传输也会被切断,在该模式下,用户仍可以让无人机连接手机,并使用部分自动功能,无人机的飞行安全性也不会受到影响。
但同时,大疆对无人机联网的必要性进行了辩护,强调这是为了传输有用的信息,大疆副总裁Brendan Schulman表示:
“大疆的飞行控制 APP 会定时联网,对地图、地理数据、APP 版本、无线电频率、能耗以及其它关乎飞行安全和功能的信息进行核查。”
