Взломал дрон — получи бабки: DJI платит хакерам за найденные уязвимости

image


Мировой лидер производства дронов DJI объявил о том, что готов заплатить от 100 долларов до 30000 долларов за найденные «уязвимости». Пока сайт с подробным описанием «охоты за багами» в разработке, писать о найденных дырах надо писать на почту — bugbounty@dji.com

Директор по техническим стандартам DJI Уолтер Стоквел сказал, что вместо того, чтобы бороться с хакерами, нужно использовать их наработки и достижения, чтобы совместно двигаться к общей цели в рамках миссии компании.

«Я уверен, монсеньор, наконец-то, понял.»
— «Святые из трущоб»


На самом деле руководство DJI зашевелилось после нескольких громких косяков с киберуязвимостями и «баном» со стороны американских военных.

Военные


Напомним, что недавно американские вояки спохватились, что дроны-то китайские и вся инфа обрабатывается в подконтрольном облаке потенциального противника.

Высокопоставленные военные США распорядились изъять все дроны от DJI, удалить все приложения этой компании, извлечь аккумуляторы и устройства хранения данных с устройств.

Ответный ход DJI, чтобы удовлетворить военных — создание offline-режима, когда данные с дрона не передаются в облако.

«Нам приятно работать с различными организациями напрямую, включая армию США, у которой есть опасения относительно кибербезопасности. Мы постараемся связаться с армией США для того, чтобы прояснить эту ситуацию и выяснить, что имеется в виду, когда военные говорят о «кибер уязвимостях». — говорят пиарщики DJI.

Гражданские


Даже гражданские хакеры лица находят уязвимости пачками.

Кевин Финистер сообщил об уязвимости, которая позволяет получить удаленный доступ к приложению DJI Go и отслеживать GPS-координаты пользователей.

Ланье Уоткинс из университета Джона Хопкинса сказал, что он (читаем: его студенты) нашел как минимум три уязвимости в продуктах DJI за полтора года, но DJI не отреагировала на их багрепорты.

Наиболее предприимчивые искатели багов (русские), даже делают на этом бизнес. Они освобождают дроны «от оков», которые на них повесили их производители.

»… теперь они не у дел, так как весь их комплект хаков (на высоту, на бесполетные зоны и на ограничения скорости), теперь можно установить за бесплатно и не тратить 600$.»
— пишет пользователь lohmatij в комментариях.


Ультиматум от DJI


Ответный удар DJI — приказ на обновление ПО для дронов Spark, которое препятствует джейлбрейкам, и удаление потенциально взламываемых старых версий прошивок отовсюду. До 1 сентября уведомление можно игнорировать, но в полночь дрон превратится в тыкву.

0fd19f2705754dc6bdef33dc12d495b5.jpg


В новой версии прошивки исправлены ошибки при управлении. Так, теперь подключение к устройству более стабильное, а батарея может снижать энергопотребление во время полёта.
Чтобы обновить прошивку, можно воспользоваться мобильным приложением DJI GO 4 или программой Assistant 2.

Bug Bounty


Bug Bounty — это флешмоб для хакеров и тех, кто себя таким считает.

image

Люди могут получить признание и вознаграждение за нахождение ошибок, особенно тех, которые касаются эксплойтов и уязвимостей.

Bug Bounty позволят разработчикам обнаружить и устранить ошибки, прежде чем широкая общественность узнает о них, предотвращая случаи массовых злоупотреблений. Bug bounty программы были реализованы у Facebook, Yahoo!, Google, Reddit, Microsoft, Пентагона, и пр.

Если вы нашли серьезный баг в прошивке дрона DJI, то теперь вы можете совершенно честно получить свои заслуженные 100 долларов, вместо того, чтобы лазить по биржам эксплоитов в даркнете и стараться впарить свою находку за сотни биткоинов.

b50f6767a7e64c489a80a8861675a369.jpg

© Geektimes