大疆創新設立 DJI 威脅識別獎賞計劃(DJI Threat Identification Reward Program),徵召全球用戶及資安專家回報軟件漏洞,視乎威脅的嚴重程度,回報者可獲高達 30,000 美元。
首設軟件漏洞回報程序
DJI 為鼓勵研究人員「負責任地」發現、披露和修復會影響 DJI 軟件資安的漏洞,首次推出正式的溝通程序,接受資安研究員、學者、獨立專家等分析 DJI 軟件編碼,並回報會釀成以下情況的問題:
- 威脅用戶私隱資訊,如個人資料、影像細節、飛行記錄
- 令 app 癱瘓
- 影響飛行安全,如地理圍欄、高度限制、電力警告
大疆創新設立 DJI 威脅識別獎賞計劃,接受研究人員回報軟件漏洞,並會按威脅嚴程程度,獎賞 100 至 30,000 美元。
DJI 回應資安疑慮之舉
近來 DJI 不時惹來私隱及保安疑慮:2017 年 8 月,美國陸軍通告流出,以「網絡漏洞」為由要求軍隊停用 DJI 無人機。數日後 DJI 宣布正在開發本機數據模式,容許用戶暫停經由互聯網收發數據。
【資安疑慮】美軍恐網絡漏洞禁用 DJI 無人機 大疆:驚訝和失望
【大疆跟進】DJI 回應洩露私隱指控 預告容許離線飛行 暫停收發數據
2017 年 6 月,俄羅斯公司 CopterSafe 的破解方案大受關注,據悉可繞過 DJI 無人機內置的地理圍欄,突破禁飛限制。8 月初,DJI 推出新韌體,指明為回應改機技術而設,可確保旗下無人機安全飛行。
【資安疑慮】俄國科企推無人機地理圍欄破解軟體 只為抵抗 DJI 過嚴的禁飛限制?
【大疆跟進】大疆更新韌體杜絕改裝 限制 DJI 無人機在禁飛區操作
DJI 威脅識別獎賞計劃正是 DJI 回應大眾質疑的措舉之一,技術標準總監 Walter Stockwell 稱:「我們希望接洽研究社群,回應他們的合理憂慮,以合作和改善為共同目標。」計劃將按威脅的影響,獎賞 100 至 30,000 美元(約 780 至 23.5 萬港元/3,010 至 90.6 萬台幣),假如飛友已有臭蟲可供回報,可電郵至 bugbounty@dji.com,而 DJI 正製作專門網站,刊載完整計劃條款及回報表格。
