История, которая облетела мировые СМИ, получила продолжение. Человек, пытавшийся подключить к своему роботу-пылесосу DJI Romo геймпад от PlayStation, случайно обнаружил, что может получить доступ к целой сети из 7000 таких устройств и заглянуть в чужие дома.
DJI уже начала устранять часть уязвимостей до того, как исследователь Сами Аздуфал продемонстрировал The Verge масштаб проблемы. Однако оставался открытым вопрос, заплатит ли компания за это открытие, учитывая её прошлые конфликты с исследователями безопасности.
Теперь появились ответы. Согласно электронному письму, которым Аздуфал поделился с The Verge, DJI выплатит ему 30 000 долларов за одно из обнаруженных уязвимостей. Компания подтвердила выплату вознаграждения безымянному исследователю, но не уточнила, за какое именно открытие.
Представитель DJI Дейзи Конг заявила, что уязвимость, позволяющая просматривать видеопоток с Romo без ввода PIN-кода, была устранена ещё в конце февраля. Что касается более критичной уязвимости, о которой ранее журналисты даже отказались подробно писать, DJI сообщила, что работает и над ней.
«Мы также начали обновление всей системы. Это включает серию обновлений, которые, как мы ожидаем, будут полностью внедрены в течение месяца», — заявили в компании.
DJI опубликовала пост в блоге об усилении безопасности Romo, где утверждает, что обнаружила исходную проблему самостоятельно, но также благодарит «двух независимых исследователей» за её обнаружение. В посте говорится, что «обновления были развернуты для полного решения проблемы». Однако, как пояснили The Verge, уязвимостей было несколько, и на полное исправление может уйти ещё месяц.
В том же сообщении DJI отмечает, что Romo уже имеет сертификаты безопасности ETSI, EU и UL. Этот факт ставит под вопрос эффективность подобных сертификаций, если один человек со знанием программирования смог получить доступ к тысячам устройств. Компания пообещала продолжить тестирование, выпуск патчей и передачу Romo и его приложения на независимый аудит безопасности.
DJI также заявила о намерении углубить взаимодействие с сообществом исследователей безопасности и в скором времени представить новые форматы сотрудничества.
