- PVSM.RU - https://www.pvsm.ru -

Взломал дрон — получи бабки: DJI платит хакерам за найденные уязвимости

image


Мировой лидер производства дронов DJI объявил [1] о том, что готов заплатить от 100 долларов до 30000 долларов за найденные «уязвимости». Пока сайт с подробным описанием «охоты за багами» в разработке, писать о найденных дырах надо писать на почту — bugbounty@dji.com

Директор по техническим стандартам DJI Уолтер Стоквел сказал, что вместо того, чтобы бороться с хакерами, нужно использовать их наработки и достижения, чтобы совместно двигаться к общей цели в рамках миссии компании.

«Я уверен, монсеньор, наконец-то, понял.»
— «Святые из трущоб»

На самом деле руководство DJI зашевелилось после нескольких громких косяков с киберуязвимостями и «баном» со стороны американских военных.

Военные

Напомним, что недавно американские вояки спохватились, что дроны-то китайские и вся инфа обрабатывается в подконтрольном облаке потенциального противника.

Высокопоставленные военные США распорядились изъять все дроны от DJI, удалить все приложения этой компании, извлечь аккумуляторы и устройства хранения данных с устройств [2].

Ответный ход DJI, чтобы удовлетворить военных — создание offline-режима, когда данные с дрона не передаются в облако.

«Нам приятно работать с различными организациями напрямую, включая армию США, у которой есть опасения относительно кибербезопасности. Мы постараемся связаться с армией США для того, чтобы прояснить эту ситуацию и выяснить, что имеется в виду, когда военные говорят о «кибер уязвимостях». — говорят пиарщики DJI.

Гражданские

Даже гражданские хакеры лица находят уязвимости пачками.

Кевин Финистер сообщил об уязвимости, которая позволяет получить удаленный доступ к приложению DJI Go и отслеживать GPS-координаты пользователей.

Ланье Уоткинс из университета Джона Хопкинса сказал, что он (читаем: его студенты) нашел как минимум три уязвимости в продуктах DJI за полтора года, но DJI не отреагировала на их багрепорты.

Наиболее предприимчивые искатели багов (русские), даже делают на этом бизнес [3]. Они освобождают дроны «от оков», которые на них повесили их производители.

"… теперь они не у дел, так как весь их комплект хаков (на высоту, на бесполетные зоны и на ограничения скорости), теперь можно установить за бесплатно и не тратить 600$."
— пишет пользователь lohmatij в комментариях [4].

Ультиматум от DJI

Ответный удар DJI — приказ на обновление ПО для дронов Spark [5], которое препятствует джейлбрейкам, и удаление потенциально взламываемых старых версий прошивок отовсюду. До 1 сентября уведомление можно игнорировать, но в полночь дрон превратится в тыкву.

Взломал дрон — получи бабки: DJI платит хакерам за найденные уязвимости - 2

В новой версии прошивки исправлены ошибки при управлении. Так, теперь подключение к устройству более стабильное, а батарея может снижать энергопотребление во время полёта.
Чтобы обновить прошивку, можно воспользоваться мобильным приложением DJI GO 4 или программой Assistant 2.

Bug Bounty

Bug Bounty — это флешмоб для хакеров и тех, кто себя таким считает.

image

Люди могут получить признание и вознаграждение за нахождение ошибок, особенно тех, которые касаются эксплойтов и уязвимостей.

Bug Bounty позволят разработчикам обнаружить и устранить ошибки, прежде чем широкая общественность узнает о них, предотвращая случаи массовых злоупотреблений. Bug bounty программы были реализованы у Facebook, Yahoo!, Google, Reddit, Microsoft, Пентагона, и пр.

Если вы нашли серьезный баг в прошивке дрона DJI, то теперь вы можете совершенно честно получить свои заслуженные 100 долларов, вместо того, чтобы лазить по биржам эксплоитов в даркнете и стараться впарить свою находку за сотни биткоинов.

Автор: Алексей

Источник [6]


Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/gadzhety/263099

Ссылки в тексте:

[1] объявил: http://www.dji.com/newsroom/news/dji-to-offer-bug-bounty-rewards-for-reporting-software-issues

[2] распорядились изъять все дроны от DJI, удалить все приложения этой компании, извлечь аккумуляторы и устройства хранения данных с устройств: https://geektimes.ru/post/291787/

[3] делают на этом бизнес: https://geektimes.ru/post/290365/

[4] в комментариях: https://geektimes.ru/post/291787/#comment_10235335

[5] дронов Spark: http://coptertime.ru/copters/dji-spark/?utm_source=gk_hack

[6] Источник: https://geektimes.ru/post/292523/