据国外媒体报道,目前有相关人士发现了大疆漏洞,而作为Bug Bounty计划的一部分,DJI已经同意向多个安全研究人员支付总额超过3万美元的奖金。
虽然目前还没有支付任何款项,但从数名研究人员口中证实,他们的目前上报的大疆软件漏洞错误报告是准确的。而他们现在已经将个人银行信息交给了DJI,只待奖金到账。而其中这个奖金至少包括一个3万美元的“最高奖励”。
近年,由于各地黑飞无人机,造成了许多负面影响。世界各地对于无人机发展的态度开始变得并非那么友善。虽然后来大疆开始对其产品使用进行了限制,但是还是存在着诸多威胁。如黑客可以推翻其地理防护系统或电子围栏,冲破大疆对其限制。而美国陆军和澳大利亚军方也因“网络漏洞”而停止使用DJI设备。
今年8月,针对公众关注的安全问题,也为了提升自身软件安全性,大疆发起了大疆威胁识别奖赏计划(DJI Threat Identification Reward Program)。DJI鼓励研究人员发现、披露和修复会影响DJI软件资安的漏洞,首次推出正式的沟通程序,接受资安研究员、学者、独立专家等分析DJI软件编码,并会回报可能酿成以下情况的问题:
威胁用户隐私信息,如个人资料、图像细节、飞行记录;令app瘫痪;影响飞行安全,如地理围栏、高度限制、电力警告。
大疆回复
根据威胁的潜在影响,大疆对确认缺陷的奖励从100美元到3万美元不等。而据国外媒体披露,DJI正在开发一个网站,提供完整的程序条款和标准格式,用于报告与DJI的服务器、应用程序或硬件有关的潜在威胁。而目前bug报告可以发送到bugbounty@dji.com,供技术专家审阅。
而从此次发现的漏洞奖金金额来看,此次上报的漏洞应该属于层级较高的重大漏洞。而至于具体的漏洞是什么,到底这是方面的安全漏洞值得如此奖励,真是令人好奇。同时也不知道大疆是否会公开这一漏洞情况,以及将如何应对这些漏洞。
