关于DJI公司在Geektimes的直升机直升机
已经写了
很多遍了。 在大多数情况下,这些都是非常好的设备。 他们有许多问题,可能给用户带来不便,但一切都已解决。 不久之前,人们就
知道 DJI软件开发人员为公司所有Web域以及Amazon Web Services的DJI帐户都留下了通配符,以获取“通配符”证书。 利用此信息,网络安全研究员Kevin Finisterr能够访问该公司DJI客户的航班数据。 这包括跟踪,这些人的驾驶执照,护照和其他文件的照片。 在某些情况下,甚至从明显属于政府机构的帐户跟踪直升机的飞行数据也会“打开”。
该公司制定了一项计划,以吸引第三方专家来消除DJI软件中的漏洞。 这是8月宣布的
赏金漏洞 。 上面提到的研究人员只是在寻找漏洞,希望能得到回报。 但是就目前而言,他所获得的只是DJI的威胁,要根据
CFAA (《计算机欺诈与滥用法》)对其行为进行调查。 此后,专家决定独立行事,而没有通知DJI他的计划。 他发布了有关发现的信息,并在材料中附有拒绝DJI赏金计划条件的解释。
在美军
拒绝使用该公司的设备后,中国人启动了鼓励信息安全专家计划。 据您了解,该国空军领导层做出了这一决定,担心中国政府会收到DJI无人机收集的所有信息。
不久之后,破坏公司无人机固件的案例开始蔓延。 修改后的固件版本
开始在Github和其他地方
发布 。 也有一些公司是为了赚钱而这样做的,他们用自己的专有软件替换了专有软件,而没有许多缺点和漏洞干扰用户。
凯文·芬尼斯特(Kevin Finnister)决定加入DJI的漏洞赏金计划。 开始工作时,他几乎偶然地发现,该公司的开发人员在Github上留下了一个存档,其中包含HTTPS证书* .dji.com的私钥,用于加密固件的AES密钥以及用于访问AWS中的云环境和许多Amazon云服务实例的密码。 S3。 而且,这种信息已经存在于公共领域很长一段时间了。 Finnister进行了额外的搜索,并在AWS的同一GutHub私钥上找到了SkyPixel照片共享服务。 帐户在验证时有效。 该服务揭示了DJI无人机用户发送给公司支持服务的许多资料。 这包括损坏的直升机的照片,用户的帐户和其他个人信息,甚至是由直升机螺旋桨的螺旋桨造成损坏的人的照片。
Finnister向公司的支持服务发送了请求,并要求报告他发现的所有内容是否都在赏金计划的规定范围内,并等待答案。 这家中国公司已经两周没有反应,之后收到了以下性质的消息:“软件,应用程序和网络元素中的所有问题,包括软件泄漏或安全漏洞,都与漏洞赏金计划有关。 我们正在制定详细的指南。”
收到这样的确认后,Finister开始起草一份报告,描述他发现的所有漏洞和问题。 记录大量细节并不是一件容易的事,但是一切都应尽快完成。 之后,Finister与DJI员工联系,为他提供了几乎所有发现的问题的详细说明。 他迅速回答,随后进行了商务往来。 通讯时间很长,完成通讯的内容包括130条电子邮件。 没有预示的问题。
随后,Finister提出要成为网络安全问题的专职顾问。
但是在Finister收到另一封信之后,指出服务器漏洞并未属于赏金计划的条款。 尽管如此,他被告知将获得该奖项,金额为30,000美元,仅此而已-公司的信息流几乎枯竭了,Finister一个月没有收到任何奖励。
最后,专家收到了另一个提议,或者说,这是关于不披露他发现的问题的协议。 Finister不同意该协议的条款,称该协议侵犯了他的言论自由权。
他试图与其他DJI部门联系以澄清情况,但无济于事。 但深圳公司的法律部门与他联系。 律师表示有必要删除描述发现问题的所有数据。 律师说,否则,Finister可能会被起诉,罪名是闯入该公司的服务器并窃取具有商业价值的信息。 同一单位向他发送了包含上述要求条款的协议。
Finister决定就合同条款与该国的专业律师进行协商。 据他说,有四位专家向他单独致词。他说,该文件没有为他本人提供任何保证,但他为起草者即DJI的职位提供了全方位的支持。
在Finister收到的最新版本的合同中,没有什么特别的改变。 “我联系的四位律师说,该合同极具风险,旨在使签署该合同的人保持沉默。” 咨询费用为几千美元。 也就是说,网络安全专家不仅没有从DJI收到任何款项,而且还损失了自己的资金(尽管是自己的自由意志)。
Finister对这家中国公司表示不满,威胁要提起公诉,他们宁愿完全停止所有沟通,拒绝支付早前承诺的3万美元。
之后,DJI发布了官方消息,称其正在调查该公司的信息安全问题。 大疆创新表示,已聘请一家私人网络安全公司对事件进行彻底调查。 邮件中提到的是Finister,DJI将其称为“黑客”,他发布了与公司员工的往来信息以及有关他在公共领域发现的漏洞的数据。
这家中国公司声称已向十几位从事信息安全领域研究的研究人员支付了数千美元。 但是,根据大疆创新的代表,Finister拒绝合作,宁愿公开发布他在公共领域发现的信息。
奖励计划的说明
说 ,它不包括对第三方公司的材料或服务的研究,包括那些仍与DJI应用程序有联系的公司。 也就是说,在GitHub上找到的材料不计算在内。 但是,到目前为止,还不清楚这些规定是否存在于Finister开始工作之前是否存在,还是在他与公司联系后随后又增加了。
具有“工厂”软件的Quadcopters DJI收集了大量有关设备运动的信息。 事实是,DJI在其无人机中安装了特殊软件,该软件确定设备的位置,并检查禁止
飞行区域 (
无飞行区 )的坐标。 开发人员认为,“禁飞区”(NFZ)功能可让您保护其客户免遭麻烦。 这些数据被发送到
公司的服务器 ,这不仅使美军感到高兴,而且也使普通用户感到满意。
一种解决方案是使用第三方固件。
据报道 ,今年夏天在Geektimes,一家俄罗斯公司Coptersafe推出了自己的固件和越狱软件。 “ DJI担心安全性真是太好了,” Coptersafe发言人一次
表示 。 “但是我认为这些限制应该在地方一级建立。”