Компания DJI заплатит до 30 тысяч долларов за найденные в ее дронах уязвимости

29 августа 2017 года

Китайская компания DJI, выпускающая популярные любительские и профессиональные дроны, объявила о запуске программы bug bounty, в рамках которой специалисты по кибербезопасности смогут получить вознаграждение за найденные в продуктах компании уязвимости, передает Bloomberg.

Сообщается, что в зависимости от серьезности обнаруженной уязвимости сумма вознаграждения составит от 100 долларов до 30 тысяч. Кроме того, компания объявила, что скоро обновит свои программные продукты в целях повышения их безопасности и сохранности данных пользователей.

При этом Bloomberg отмечает, что за последние недели в дронах DJI были найдены уязвимости. Так, разработчик по имени Кевин Финистер сообщил об уязвимости, которая позволяет получить удаленный доступ к приложению DJI Go и отслеживать GPS-координаты пользователей. В свою очередь, исследователь в области безопасности Ланье Уоткинс из университета Джона Хопкинса завил, что ему совместно со студентами удалось обнаружить как минимум три уязвимости в продуктах DJI за последние полтора года, однако компания не отреагировала на сообщения о них, направленные по электронной почте.

Запуск программы bug bounty может быть связан с недавним приказом армии США, который ввел полный запрет на использование военнослужащими беспилотников DJI. Приказ касался всех дронов DJI, а также систем, в которых используется ПО компании. Кроме того, от военнослужащих потребовали удалить все приложения компании, а также отключить от дронов батареи и носители информации. Причиной отказа от беспилотников стало наличие в них уязвимостей для кибератак.

Комментируя решение военных, в DJI заявили, что удивились и расстроились, а также пообещали выяснить, о каких именно уязвимостях идет речь. Вскоре после этого DJI сообщила о внедрении в свои беспилотники офлайн-режима, в котором фотографии и видеозаписи с камер дронов перестают передаваться в "облако".