本周一,大疆宣布启动漏洞奖励计划,意在奖励任何发现软件漏洞的人员,奖励金额在100到30000美元之间,大疆表示会建立专门的网站来介绍漏洞奖励计划的详细条款和提交漏洞的格式,感兴趣的研究人员可以直接将漏洞报告提交给公司。

大疆表示:

漏洞奖励计划旨在保护用户的个人数据,比如用户的个人信息,照片,视频,还有飞行记录。漏洞范围包括安全漏洞,隐私威胁,还有简单的应用程序崩溃。还有那些影响安全飞行的问题,比如限飞区,飞行高度限制,还有电源警告的问题等。

大疆在以前并没有给安全研究人员提供一个可以交流安全问题的平台,当研究人员不知道这些发现的安全问题如何引起大疆的注意时,他们只能在社交媒体或其他论坛上告知我们。

美军:大疆产品上存在漏洞,很难符合绝对安全的标准

值得注意的是,在推出漏洞奖励计划的不久前,sUAS News网站获得的一份备忘录显示,美国军队将立即停止使用大疆无人机。

备忘录内容表示大疆无人机有安全漏洞:

由于越来越感觉到大疆产品存在网络漏洞,要求美国军队停止使用所有大疆的产品。

早在今年 5 月,sUAS News网站发表了一篇文章,其主题为大疆无人机的安全问题。文章指出,按照大疆无人机搭载的DJI GO 4 应用的默认设置,包括遥测数据、视频和音频在内的飞行记录的细节将上传至位于美国、中国大陆和香港地区的服务器。然而美国军方是不会允许在不知情的情况下将其飞行细节上传至DJI服务器,因此最近发现的安全漏洞可能足以让美国军方重新考虑是否使用大疆的技术。

大疆回应:被“封杀”,感到十分惊讶和失望

就美军封杀事件,大疆的一位发言人称:

就美国军方限制大疆无人机的使用的报道,我们感到惊讶和失望,因为在他们做出该决定的过程中没有征询我们的意见。我们很高兴与包括美国军队在内的任何组织直接合作,它们可能对我们如何管理网络方面的问题有所担忧。我们将与美国军方联系,以确认备忘录的内容,并了解‘网络安全漏洞’具体指的是什么。

其实在今年8月,大疆宣布了将在9月份向无人机推送安全更新,增加新的隐私模式,在该模式下,无人机将不能联网工作,与网络之间的数据传输也会被切断,在该模式下,用户仍可以让无人机连接手机,并使用部分自动功能,无人机的飞行安全性也不会受到影响。

但同时,大疆对无人机联网的必要性进行了辩护,强调这是为了传输有用的信息,大疆副总裁Brendan Schulman表示:

“大疆的飞行控制 APP 会定时联网,对地图、地理数据、APP 版本、无线电频率、能耗以及其它关乎飞行安全和功能的信息进行核查。”

“封杀”是否合理,还看大疆是否牢不可摧

美军对于无人机的封杀是否有道理呢?当然这还要看大疆本身在安全上是否真的坚不可摧,虽然大疆在业界处于领先地位,但也确实存在一些安全上的漏洞,这也让黑客们有了可乘之机。

3.15晚会曝光大疆无人机漏洞

在去年的315晚会上,大疆无人机被黑客劫持作为案例出现在信息安全板块中。视频中展示了无人机在黑客的操纵下,脱离了机主的控制任由黑客摆布。报道出来后,引发了很多人对于大疆无人机安全问题的讨论。

本次央视爆出的漏洞其实是在去年的黑客大赛GeekPwn上发现的,当时黑客利用了无线劫持的技术获取了无人机的控制权,无人机可以在遥控器毫无被操控的情况下自动起飞。

其实这种劫持事件最关键的漏洞在于WiFi的不安全,WiFi路由器很容易被黑客攻破。想要避免被劫持的最好方式是进行控制信号加密。

但根据央视的后续报道以及后续回应可知,大疆早在漏洞爆出后就及时地进行了固件升级,而此次央视的报道也并非针对智能硬件产品的打压,而是提醒广大观众其中的安全风险。

CopterSafe推出大疆机型破解方案

今年6月,俄罗斯CopterSafe公司推出了适用于DJI Mavic Pro、Phantom 4 Pro、Inspire 2等热门机型的破解方案。

这家公司是专门帮助飞行员改变无人机的固件,以躲避DJI的禁飞区、高度和限速。并以每台200多美元的价格出售。但最近几周,黑客对该软件进行了反向设计,并免费发布了改变DJI无人机固件的指令,导致越来越多的无人机飞行员绕开了DJI对其产品实施的飞行限制。

黑飞屡禁不止

上面的案例如果觉得不痛不痒的话,那下面的例子就比较危险了。

今年4月,层出不穷的“黑飞”事件就已经频繁出现了大家的视野中。

今年四月,成都双流机场连续发生多起疑似无人驾驶航空器干扰民航航班正常起降事件,仅4月14日、17日、18日和21日四天就导致百余架次航班被迫备降或返航,超过万名旅客受阻滞留机场。大疆昨日晚间公告称,将出资奖励提供案件举报线索人员,最高额奖励为人民币100万元。

其实对于“黑飞”事件,大疆在设计无人机之初就已经想到了这样的情况,在无人机中加入了禁飞区域和飞行高度限制的设定。

然而还是有些“黑飞者”采用了特殊技术手段,对无人机进行了类似安卓手机“root”的方式,突破了大疆的禁飞区设置,特意在机场附近起飞多次。

漏洞奖励计划,或许会是解药

大疆在“封杀”之后,马上提出了自己的漏洞奖励计划,对于安全研究人员来说,无疑是增加了一个可以官方的交流安全问题的平台,加入奖励机制之后,研究者们对于安全漏洞的提交也会更加踊跃,也能让外界看到一个国际化厂商对待“安全问题”的开放性态度。

相信这对于大疆,对于整个无人机行业,安全问题都会变得越来越受人重视。也相信这些改进可以让无人机这样的新生事物少一些外部的非议。

*参考信息:雷锋网,techweb,本文作者:Liki,转载请注明来自 FreeBuf.COM