На День Святого Валентина я розповів вам історію, яка згодом потрапила в заголовки новин по всьому світу: один чоловік, намагаючись управляти своїм робот-пилососом DJI за допомогою геймпада PlayStation, виявив цілу мережу з 7000 безпілотних роботів DJI, які надавали йому можливість заглядати в чужі домівки.
Для ясності, DJI вже почала усувати деякі пов’язані вразливості до того, як чоловік на ім’я Самі Адздуфал продемонстрував, скільки саме він міг отримати доступу. Проте не було зрозуміло, чи заплатить DJI йому за його відкриття, особливо з огляду на те, як компанія вчинила з дослідником з безпеки Кевіном Фіністером у 2017 році, або як швидко компанія закриє додаткові вразливості, які виявив Адздуфал.
Сьогодні ми отримали деякі відповіді.
DJI виплатить Адздуфалу 30 000 доларів за одне єдине відкриття, згідно з електронним листом, яким він поділився. Компанія не вказала, за яке саме відкриття вона здійснює платіж, проте підтвердила, що “винагородила” анонімного дослідника за їхню роботу.
DJI також не розголошує, за яке відкриття здійснила платіж, але запевняє, що вже усунула вразливість, пов’язану з можливістю переглядати відео з камер Romo без необхідності вводити PIN-код. “Ми можемо підтвердити, що спостереження за безпекою PIN-коду було усунено до кінця лютого”, — йдеться у заяві представника DJI Дейзі Конг.
Вас може цікавити: “Що з вразливістю, яка здавалася настільки серйозною, що ми відмовилися її описувати в нашій початковій статті?” DJI повідомила, що працює над цим питанням також: “Ми також почали оновлювати всю систему. Це включає серію оновлень, які, за нашими прогнозами, будуть повністю реалізовані протягом місяця”.
Сьогодні DJI також опублікувала публічний блог про посилення безпеки DJI Romo, в якому стверджує, що виявила первісну проблему самостійно, водночас відзначаючи “двох незалежних дослідників в галузі безпеки”, які виявили ту ж саму проблему.
У цьому звіті DJI, здається, натякає, що проблема з Romo вже “повністю” вирішена: “Оновлення були впроваджені для повного вирішення проблеми”. Але знову ж, йдеться не лише про одну вразливість, і DJI повідомила, що це може зайняти ще місяць.
У блозі DJI також зазначено, що Romo вже має сертифікати ETSI, EU та UL на безпеку — що може викликати питання про те, наскільки корисними є ці сертифікати, якщо одна особа могла отримати доступ до цілого мережі роботів-пилососів! — і що компанія продовжить тестувати, виправляти та надсилати Romo та його застосунок на незалежні аудити безпеки.
DJI зазначає, що “прагне поглибити співпрацю з науковою спільнотою безпеки, і незабаром представить нові способи для дослідників співпрацювати з нами”.