No Dia dos Namorados, compartilhei uma história que se tornou viral em todo o mundo. Um homem estava tentando controlar um aspirador de robô DJI com um gamepad de PlayStation quando descobriu uma rede inteira de 7.000 robôs DJI controlados remotamente, prontos para espiar as casas de outras pessoas.
Para ser claro, a DJI já havia começado a resolver algumas das vulnerabilidades relacionadas antes de Samy Azdoufar divulgá-las. A beira Quanto acesso ele teve? Mas não estava claro se a DJI recompensaria o pesquisador de segurança Kevin Finisterre por suas descobertas, especialmente depois de como a DJI tratou o pesquisador de segurança Kevin Finisterre em 2017, ou com que rapidez a DJI corrigiria completamente quaisquer vulnerabilidades adicionais descobertas por Asdoufar.
Hoje, gostaria de compartilhar algumas das respostas com você.
DJI pagará a Azdoufar US$ 30 mil por cada descoberta, de acordo com um e-mail que ele compartilhou. A beiraEle não disse quais descobertas estava pagando. DJI não nomeou Azdufal, mas confirmou: A beira Pesquisadores de segurança anônimos foram “recompensados” por suas pesquisas.
A DJI também não informou quais descobertas estava pagando, mas disse que já havia resolvido uma vulnerabilidade adicional descoberta por Azdoufar que permitia aos usuários assistir a transmissões de vídeo do DJI Romo sem exigir um PIN de segurança. “Podemos confirmar que o monitoramento de segurança do código PIN foi resolvido no final de fevereiro”, disse a porta-voz da DJI, Daisy Kong, em comunicado.
Você pode estar se perguntando: E quanto à vulnerabilidade que eles se recusaram a explicar na história original porque parecia tão flagrante?? DJI me disse que eles estão trabalhando nisso também. “Também iniciamos uma atualização de todo o sistema, que inclui uma série de atualizações e deverá ser totalmente implementada dentro de um mês.”
DJI também lançou Postagem pública de hoje no blog Em relação às melhorias de segurança do DJI Romo, embora o DJI Romo continue a afirmar que descobriu o problema original, também afirma que “dois investigadores de segurança independentes” descobriram o mesmo problema.
DJI parece sugerir que isso é tudo. já Resolvido por Romo: “Uma atualização foi introduzida para resolver totalmente o problema.” Mas, novamente, não é apenas uma vulnerabilidade, diz DJI. A beira Acho que pode demorar mais um mês.
DJI também disse em um blog que Romo já possui certificações ETSI, EU e UL para segurança. Isso poderia levantar a questão de quão úteis essas autenticações seriam realmente se uma pessoa com o código Claude pudesse acessar uma rede inteira cheia de robovacs. – e afirma que continuará testando, corrigindo e submetendo a Romo e seus aplicativos a auditorias de segurança independentes de terceiros.
DJI escreveu: “Estamos comprometidos em aprofundar nosso envolvimento com a comunidade de pesquisa em segurança e em breve apresentaremos novas maneiras de os pesquisadores fazerem parceria e colaborarem conosco”.
