No Dia dos Namorados, contei uma história que ganhou as manchetes em todo o mundo. Esta é a história de um homem que estava tentando controlar um aspirador de robô DJI usando um gamepad de PlayStation e descobriu toda uma rede de 7.000 robôs DJI controlados remotamente, prontos para espionar as casas de outras pessoas.
Para ser claro, a DJI já tinha começado a resolver algumas das vulnerabilidades relevantes antes de Sammy Azdoufal o mostrar. A beira Como ele era acessível. Mas não estava claro, especialmente em 2017, como o investigador de segurança Kevin Finisterre foi tratado, se a DJI lhe pagaria pelas suas descobertas ou com que rapidez a DJI corrigiria completamente as vulnerabilidades adicionais descobertas por Azdoufal.
Hoje temos algumas respostas.
DJI pagará a Azdoufal US$ 30 mil por uma descoberta, de acordo com um e-mail que ele compartilhou. A beiraSem especificar quais descobertas estão sendo pagas. DJI não nomeou Azdoufal, no entanto. A beira Um pesquisador de segurança não identificado foi “recompensado” por seu trabalho.
A DJI também não revelou quais descobertas está pagando, mas disse que Azdoufal já havia resolvido uma vulnerabilidade adicional que poderia permitir que alguém visualizasse streams de vídeo do DJI Romo sem um PIN de segurança. “Podemos confirmar que a observação de segurança do código PIN foi resolvida no final de fevereiro”, disse a porta-voz da DJI, Daisy Kong.
Você pode estar se perguntando: E quanto à vulnerabilidade que era tão grave que a história original se recusou a dar conta dela?? “Também iniciamos uma atualização completa do sistema, que inclui uma série de atualizações e deverá ser totalmente implementada dentro de um mês”, disse DJI.
DJI também anunciou. Postagem pública de hoje no blog Quanto às melhorias de segurança do DJI Romo, afirma que descobriu o problema original, ao mesmo tempo que dá crédito a “dois investigadores de segurança independentes” que descobriram o mesmo problema.
DJI é tudo já Resolvido por Romo: “Uma atualização foi lançada para resolver totalmente o problema.” Mas, novamente, a vulnerabilidade não era apenas uma, disse DJI. A beira Isso significa que pode demorar mais um mês ou mais.
Em uma postagem no blog, DJI também afirma que Romo já possui certificações ETSI, EU e UL para segurança. Isso pode levantar a questão de quão útil é essa autenticação se uma pessoa com o Código Claude puder acessar uma rede inteira cheia de robobags! — e continuaremos testando, corrigindo e submetendo a Romo e seus aplicativos a auditorias de segurança independentes de terceiros.
“Estamos comprometidos em aprofundar nosso envolvimento com a comunidade de pesquisa em segurança e em breve apresentaremos novas maneiras para os pesquisadores colaborarem e colaborarem conosco”, escreveu DJI.
