DJI, premier fabricant mondial de drones, a
annoncé qu'il était disposé à payer entre 100 et 30 000 dollars pour les vulnérabilités trouvées. Pendant que le site avec une description détaillée de la «chasse aux bogues» est en cours de développement, écrivez sur les trous trouvés devrait être écrit par la poste - bugbounty@dji.com
Le directeur des normes techniques de DJI, Walter Stockwell, a déclaré qu'au lieu de lutter contre les pirates, vous devez utiliser leurs réalisations et leurs réalisations pour progresser ensemble vers un objectif commun au sein de la mission de l'entreprise.
"Je suis sûr que Monsignor a finalement compris."
- «Slum Saints»
En fait, la direction de DJI a commencé à remuer après plusieurs bruits forts avec des vulnérabilités cybernétiques et une interdiction de l'armée américaine.
Militaire
Rappelons que récemment, les guerriers américains ont réalisé que les drones chinois et toutes les informations sont traités dans un nuage contrôlé d'un ennemi potentiel.
Des militaires américains de haut rang ont
reçu l'
ordre de supprimer tous les drones de DJI, de supprimer toutes les applications de cette société, de retirer les batteries et les périphériques de stockage des appareils .
La réponse de DJI pour satisfaire les militaires est de créer un mode hors ligne lorsque les données du drone ne sont pas transmises au cloud.
«Nous sommes heureux de travailler directement avec diverses organisations, y compris l'armée américaine, qui a des préoccupations au sujet de la cybersécurité. Nous allons essayer de contacter l'armée américaine afin de clarifier cette situation et de savoir ce que l'on entend lorsque les militaires parlent de «cyber-vulnérabilités». - disent les responsables DJI PR.
Civil
Même les
pirates informatiques civils trouvent des éclats de vulnérabilité.
Kevin Finister a signalé une vulnérabilité qui pourrait permettre l'accès à distance à l'application DJI Go et suivre les coordonnées GPS des utilisateurs.
Lanier Watkins de l'Université Johns Hopkins a déclaré qu'il (lire: ses étudiants) a trouvé au moins trois vulnérabilités dans les produits DJI en un an et demi, mais DJI n'a pas répondu à leurs rapports de bogues.
Les chercheurs d'insectes les plus entreprenants (les Russes)
font même des
affaires à ce sujet . Ils libèrent les drones "des chaînes" que leurs fabricants leur ont suspendues.
"... maintenant, ils sont sans travail, car leur ensemble complet de hacks (pour la hauteur, pour les zones d'exclusion aérienne et pour les limites de vitesse) peut maintenant être réglé gratuitement et ne pas dépenser 600 $."
- écrit l'utilisateur lohmatij dans les commentaires .
DJI Ultimatum
DJI Retaliation est une commande pour mettre à jour le logiciel des
drones Spark , ce qui empêche les jailbreaks et la suppression des anciennes versions de firmware potentiellement fissurées de partout. Jusqu'au 1er septembre, la notification peut être ignorée, mais à minuit le drone se transformera en citrouille.
Dans la nouvelle version du firmware, les erreurs de gestion ont été corrigées. Ainsi, la connexion à l'appareil est désormais plus stable et la batterie peut réduire la consommation d'énergie pendant le vol.
Pour mettre à jour le firmware, vous pouvez utiliser l'application mobile DJI GO 4 ou le programme Assistant 2.
Bug bounty
Bug Bounty est un flash mob pour les hackers et ceux qui se considèrent ainsi.
Les gens peuvent être reconnus et récompensés pour avoir trouvé des bogues, en particulier ceux liés aux exploits et aux vulnérabilités.
Bug Bounty permettra aux développeurs de détecter et de corriger les bogues avant que le grand public ne les découvre, évitant ainsi les cas d'abus de masse. Des programmes de bug bounty ont été mis en œuvre par Facebook, Yahoo!, Google, Reddit, Microsoft, le Pentagone, etc.
Si vous trouvez un bug sérieux dans le firmware du drone DJI, vous pouvez maintenant honnêtement obtenir vos 100 $ bien mérités, au lieu de grimper les échanges d'exploit sur le darknet et d'essayer de jumeler votre recherche pour des centaines de bitcoins.
