No Dia dos Namorados, trouxe para vocês uma história que virou manchete em todo o mundo: como um homem, apenas tentando dirigir seu robô aspirador DJI com um gamepad de PlayStation, descobriu uma rede inteira de 7.000 robôs DJI de controle remoto prontos para deixá-lo espiar a casa de outras pessoas.
Para ser claro, DJI já havia começado a abordar algumas das vulnerabilidades relacionadas antes do homem, Sammy Azdoufal, mostrar A beira quanto ele poderia acessar. Mas não estava claro se a DJI pagaria por sua descoberta, especialmente depois de como tratou o pesquisador de segurança Kevin Finisterre em 2017 – ou quando a DJI poderia corrigir completamente as vulnerabilidades adicionais que Azdoufal descobriu.
Hoje temos algumas das respostas.
DJI pagará a Azdoufal US$ 30 mil por uma única descoberta, de acordo com um e-mail que ele compartilhou A beirasem especificar por qual descoberta ele está pagando. Embora DJI não esteja nomeando Azdoufal, ele confirma A beira ele “recompensou” um pesquisador de segurança não identificado por seu trabalho.
A DJI também não nos disse por qual descoberta está pagando, mas diz que já abordou a vulnerabilidade extra que Azdoufal encontrou, onde alguém pode assistir a um stream de vídeo do DJI Romo sem precisar de um PIN de segurança. “Podemos confirmar que a observação de segurança do código PIN foi resolvida no final de fevereiro”, diz um comunicado fornecido pela porta-voz da DJI, Daisy Kong.
Você pode estar se perguntando: E quanto à vulnerabilidade que parecia tão ruim que nos recusamos a descrevê-la em nossa história original?? DJI me disse que também está trabalhando nisso: “Também começamos a atualizar todo o sistema. Isso inclui uma série de atualizações, que prevemos que serão totalmente implementadas dentro de um mês.”
DJI também publicou hoje uma postagem pública no blog sobre o fortalecimento da segurança do DJI Romo, onde continua afirmando que descobriu o problema original, ao mesmo tempo que dá crédito a “dois pesquisadores de segurança independentes” por encontrar o mesmo problema.
Pronto, DJI parece estar sugerindo que tudo está já resolvido com o Romo: “Atualizações foram implantadas para resolver totalmente o problema.” Mas, novamente, não havia apenas uma vulnerabilidade, e DJI disse A beira que pode demorar até mais um mês.
Na postagem do blog, DJI também diz que o Romo já possui certificações ETSI, EU e UL para segurança – o que pode levantar questões sobre quão úteis essas certificações são realmente se um cara com Claude Code pudesse acessar uma rede inteira cheia de robovacs! – e que continuará testando, corrigindo e submetendo o Romo e seu aplicativo a auditorias de segurança independentes de terceiros.
A DJI escreve que está “empenhada em aprofundar o nosso envolvimento com a comunidade de investigação em segurança e em breve apresentaremos novas formas de os investigadores estabelecerem parcerias e colaborarem connosco”.
Fonte: theverge
