本周一，大疆宣布啟動(dòng)漏洞獎(jiǎng)勵(lì)計(jì)劃，意在獎(jiǎng)勵(lì)任何發(fā)現(xiàn)軟件漏洞的人員，獎(jiǎng)勵(lì)金額在100到30000美元之間，大疆表示會(huì)建立專門的網(wǎng)站來介紹漏洞獎(jiǎng)勵(lì)計(jì)劃的詳細(xì)條款和提交漏洞的格式，感興趣的研究人員可以直接將漏洞報(bào)告提交給公司。

　　大疆表示:

　　漏洞獎(jiǎng)勵(lì)計(jì)劃旨在保護(hù)用戶的個(gè)人數(shù)據(jù)，比如用戶的個(gè)人信息，照片，視頻，還有飛行記錄。漏洞范圍包括安全漏洞，隱私威脅，還有簡單的應(yīng)用程序崩潰。還有那些影響安全飛行的問題，比如限飛區(qū)，飛行高度限制，還有電源警告的問題等。

　　大疆在以前并沒有給安全研究人員提供一個(gè)可以交流安全問題的平臺(tái)，當(dāng)研究人員不知道這些發(fā)現(xiàn)的安全問題如何引起大疆的注意時(shí)，他們只能在社交媒體或其他論壇上告知我們。

　　美軍:大疆產(chǎn)品上存在漏洞，很難符合絕對安全的標(biāo)準(zhǔn)

　　值得注意的是，在推出漏洞獎(jiǎng)勵(lì)計(jì)劃的不久前，sUAS News網(wǎng)站獲得的一份備忘錄顯示，美國軍隊(duì)將立即停止使用大疆無人機(jī)。

　　備忘錄內(nèi)容表示大疆無人機(jī)有安全漏洞:

　　由于越來越感覺到大疆產(chǎn)品存在網(wǎng)絡(luò)漏洞，要求美國軍隊(duì)停止使用所有大疆的產(chǎn)品。

　　早在今年 5 月，sUAS News網(wǎng)站發(fā)表了一篇文章，其主題為大疆無人機(jī)的安全問題。文章指出，按照大疆無人機(jī)搭載的DJI GO 4 應(yīng)用的默認(rèn)設(shè)置，包括遙測數(shù)據(jù)、視頻和音頻在內(nèi)的飛行記錄的細(xì)節(jié)將上傳至位于美國、中國大陸和香港地區(qū)的服務(wù)器。然而美國軍方是不會(huì)允許在不知情的情況下將其飛行細(xì)節(jié)上傳至DJI服務(wù)器，因此最近發(fā)現(xiàn)的安全漏洞可能足以讓美國軍方重新考慮是否使用大疆的技術(shù)。

　　大疆回應(yīng):被"封殺"，感到十分驚訝和失望

　　就美軍封殺事件，大疆的一位發(fā)言人稱:

　　就美國軍方限制大疆無人機(jī)的使用的報(bào)道，我們感到驚訝和失望，因?yàn)樵谒麄冏龀鲈摏Q定的過程中沒有征詢我們的意見。我們很高興與包括美國軍隊(duì)在內(nèi)的任何組織直接合作，它們可能對我們?nèi)绾喂芾砭W(wǎng)絡(luò)方面的問題有所擔(dān)憂。我們將與美國軍方聯(lián)系，以確認(rèn)備忘錄的內(nèi)容，并了解'網(wǎng)絡(luò)安全漏洞'具體指的是什么。

　　其實(shí)在今年8月，大疆宣布了將在9月份向無人機(jī)推送安全更新，增加新的隱私模式，在該模式下，無人機(jī)將不能聯(lián)網(wǎng)工作，與網(wǎng)絡(luò)之間的數(shù)據(jù)傳輸也會(huì)被切斷，在該模式下，用戶仍可以讓無人機(jī)連接手機(jī)，并使用部分自動(dòng)功能，無人機(jī)的飛行安全性也不會(huì)受到影響。

　　但同時(shí)，大疆對無人機(jī)聯(lián)網(wǎng)的必要性進(jìn)行了辯護(hù)，強(qiáng)調(diào)這是為了傳輸有用的信息，大疆副總裁Brendan Schulman表示:

　　"大疆的飛行控制 APP 會(huì)定時(shí)聯(lián)網(wǎng)，對地圖、地理數(shù)據(jù)、APP 版本、無線電頻率、能耗以及其它關(guān)乎飛行安全和功能的信息進(jìn)行核查。"

　　"封殺"是否合理，還看大疆是否牢不可摧

　　美軍對于無人機(jī)的封殺是否有道理呢?當(dāng)然這還要看大疆本身在安全上是否真的堅(jiān)不可摧，雖然大疆在業(yè)界處于領(lǐng)先地位，但也確實(shí)存在一些安全上的漏洞，這也讓黑客們有了可乘之機(jī)。

　　3.15晚會(huì)曝光大疆無人機(jī)漏洞

　　在去年的315晚會(huì)上，大疆無人機(jī)被黑客劫持作為案例出現(xiàn)在信息安全板塊中。視頻中展示了無人機(jī)在黑客的操縱下，脫離了機(jī)主的控制任由黑客擺布。報(bào)道出來后，引發(fā)了很多人對于大疆無人機(jī)安全問題的討論。

　　本次央視爆出的漏洞其實(shí)是在去年的黑客大賽GeekPwn上發(fā)現(xiàn)的，當(dāng)時(shí)黑客利用了無線劫持的技術(shù)獲取了無人機(jī)的控制權(quán)，無人機(jī)可以在遙控器毫無被操控的情況下自動(dòng)起飛。

　　其實(shí)這種劫持事件最關(guān)鍵的漏洞在于WiFi的不安全，WiFi路由器很容易被黑客攻破。想要避免被劫持的最好方式是進(jìn)行控制信號(hào)加密。

　　但根據(jù)央視的后續(xù)報(bào)道以及后續(xù)回應(yīng)可知，大疆早在漏洞爆出后就及時(shí)地進(jìn)行了固件升級，而此次央視的報(bào)道也并非針對智能硬件產(chǎn)品的打壓，而是提醒廣大觀眾其中的安全風(fēng)險(xiǎn)。

　　CopterSafe推出大疆機(jī)型破解方案

　　今年6月，俄羅斯CopterSafe公司推出了適用于DJI Mavic Pro、Phantom 4 Pro、Inspire 2等熱門機(jī)型的破解方案。

　　這家公司是專門幫助飛行員改變無人機(jī)的固件，以躲避DJI的禁飛區(qū)、高度和限速。并以每臺(tái)200多美元的價(jià)格出售。但最近幾周，黑客對該軟件進(jìn)行了反向設(shè)計(jì)，并免費(fèi)發(fā)布了改變DJI無人機(jī)固件的指令，導(dǎo)致越來越多的無人機(jī)飛行員繞開了DJI對其產(chǎn)品實(shí)施的飛行限制。

　　黑飛屢禁不止

　　上面的案例如果覺得不痛不癢的話，那下面的例子就比較危險(xiǎn)了。

　　今年4月，層出不窮的"黑飛"事件就已經(jīng)頻繁出現(xiàn)了大家的視野中。

　　今年四月，成都雙流機(jī)場連續(xù)發(fā)生多起疑似無人駕駛航空器干擾民航航班正常起降事件，僅4月14日、17日、18日和21日四天就導(dǎo)致百余架次航班被迫備降或返航，超過萬名旅客受阻滯留機(jī)場。大疆昨日晚間公告稱，將出資獎(jiǎng)勵(lì)提供案件舉報(bào)線索人員，最高額獎(jiǎng)勵(lì)為人民幣100萬元。

　　其實(shí)對于"黑飛"事件，大疆在設(shè)計(jì)無人機(jī)之初就已經(jīng)想到了這樣的情況，在無人機(jī)中加入了禁飛區(qū)域和飛行高度限制的設(shè)定。

　　然而還是有些"黑飛者"采用了特殊技術(shù)手段，對無人機(jī)進(jìn)行了類似安卓手機(jī)"root"的方式，突破了大疆的禁飛區(qū)設(shè)置，特意在機(jī)場附近起飛多次。

　　漏洞獎(jiǎng)勵(lì)計(jì)劃，或許會(huì)是解藥

　　大疆在"封殺"之后，馬上提出了自己的漏洞獎(jiǎng)勵(lì)計(jì)劃，對于安全研究人員來說，無疑是增加了一個(gè)可以官方的交流安全問題的平臺(tái)，加入獎(jiǎng)勵(lì)機(jī)制之后，研究者們對于安全漏洞的提交也會(huì)更加踴躍，也能讓外界看到一個(gè)國際化廠商對待"安全問題"的開放性態(tài)度。

　　相信這對于大疆，對于整個(gè)無人機(jī)行業(yè)，安全問題都會(huì)變得越來越受人重視。也相信這些改進(jìn)可以讓無人機(jī)這樣的新生事物少一些外部的非議。

　　*參考信息:雷鋒網(wǎng)，techweb，本文作者:Liki，轉(zhuǎn)載請注明來自 FreeBuf.COM