image

Мировой лидер производства дронов DJI объявил о том, что готов заплатить от 100 долларов до 30000 долларов за найденные «уязвимости». Пока сайт с подробным описанием «охоты за багами» в разработке, писать о найденных дырах надо писать на почту — bugbounty@dji.com

Директор по техническим стандартам DJI Уолтер Стоквел сказал, что вместо того, чтобы бороться с хакерами, нужно использовать их наработки и достижения, чтобы совместно двигаться к общей цели в рамках миссии компании.

«Я уверен, монсеньор, наконец-то, понял.»
— «Святые из трущоб»

На самом деле руководство DJI зашевелилось после нескольких громких косяков с киберуязвимостями и «баном» со стороны американских военных.

Военные


Напомним, что недавно американские вояки спохватились, что дроны-то китайские и вся инфа обрабатывается в подконтрольном облаке потенциального противника.

Высокопоставленные военные США распорядились изъять все дроны от DJI, удалить все приложения этой компании, извлечь аккумуляторы и устройства хранения данных с устройств.

Ответный ход DJI, чтобы удовлетворить военных — создание offline-режима, когда данные с дрона не передаются в облако.

«Нам приятно работать с различными организациями напрямую, включая армию США, у которой есть опасения относительно кибербезопасности. Мы постараемся связаться с армией США для того, чтобы прояснить эту ситуацию и выяснить, что имеется в виду, когда военные говорят о «кибер уязвимостях». — говорят пиарщики DJI.

Гражданские


Даже гражданские хакеры лица находят уязвимости пачками.

Кевин Финистер сообщил об уязвимости, которая позволяет получить удаленный доступ к приложению DJI Go и отслеживать GPS-координаты пользователей.

Ланье Уоткинс из университета Джона Хопкинса сказал, что он (читаем: его студенты) нашел как минимум три уязвимости в продуктах DJI за полтора года, но DJI не отреагировала на их багрепорты.

Наиболее предприимчивые искатели багов (русские), даже делают на этом бизнес. Они освобождают дроны «от оков», которые на них повесили их производители.

"… теперь они не у дел, так как весь их комплект хаков (на высоту, на бесполетные зоны и на ограничения скорости), теперь можно установить за бесплатно и не тратить 600$."
— пишет пользователь lohmatij в комментариях.

Ультиматум от DJI


Ответный удар DJI — приказ на обновление ПО для дронов Spark, которое препятствует джейлбрейкам, и удаление потенциально взламываемых старых версий прошивок отовсюду. До 1 сентября уведомление можно игнорировать, но в полночь дрон превратится в тыкву.


В новой версии прошивки исправлены ошибки при управлении. Так, теперь подключение к устройству более стабильное, а батарея может снижать энергопотребление во время полёта.
Чтобы обновить прошивку, можно воспользоваться мобильным приложением DJI GO 4 или программой Assistant 2.

Bug Bounty


Bug Bounty — это флешмоб для хакеров и тех, кто себя таким считает.

image

Люди могут получить признание и вознаграждение за нахождение ошибок, особенно тех, которые касаются эксплойтов и уязвимостей.

Bug Bounty позволят разработчикам обнаружить и устранить ошибки, прежде чем широкая общественность узнает о них, предотвращая случаи массовых злоупотреблений. Bug bounty программы были реализованы у Facebook, Yahoo!, Google, Reddit, Microsoft, Пентагона, и пр.

Если вы нашли серьезный баг в прошивке дрона DJI, то теперь вы можете совершенно честно получить свои заслуженные 100 долларов, вместо того, чтобы лазить по биржам эксплоитов в даркнете и стараться впарить свою находку за сотни биткоинов.

Комментарии (6)


  1. ariklus
    31.08.2017 14:58
    +1

    Рейтинг наград за нахождение уязвимости ИМХО лучше составлять без дописки or ""«willing»"" to pay.


    1. MagisterLudi Автор
      31.08.2017 14:59

      Согласен


  1. Fagot63
    31.08.2017 15:28
    +1

    Как обычно. Без «волшебного пендаля» никто не хочет работать.


  1. stalinets
    31.08.2017 16:49
    +1

    Ответный удар DJI — приказ на обновление ПО для дронов Spark, которое препятствует джейлбрейкам, и удаление потенциально взламываемых старых версий прошивок отовсюду. До 1 сентября уведомление можно игнорировать, но в полночь дрон превратится в тыкву.

    Не куплю.


    1. OnYourLips
      01.09.2017 11:45

      Другие производители используют опенсорс-прошивки, сами выкладывают свои наработки в опенсорс, донатят подобным проектам для улучшенной поддержки своего железа.

      Обратная позиция со стороны DJI и некоторых других производителей не нравится. Было одной из основных причин в пользу производителей, любящих опенсорс.

      Вторая причина — «закрытость» железа, несовместимость. Приводит к длительному ремонту (сложно достать запчасти) и очень высокой стоимости крушения. Эта причина связана с первой.

      Третья причина — искусственные ограничения. Производитель наглеет с целью ограничить способы использования игрушки, и эти ограничения более строгие, чем предписанные законом.


  1. ZetaTetra
    01.09.2017 15:13

    которое препятствует джейлбрейкам, и удаление потенциально взламываемых старых версий прошивок отовсюду

    Не уверен по поводу именно препятствию джейлбрейку, ибо прошивку на дронах DJI можно откатывать. Да, видимо Spark при этом превратится в тыкву, но, скажем, на мавике я таких принудительных прошивок — не встречал.