Aktuality  |  Články  |  Recenze
Doporučení  |  Diskuze
Grafické karty a hry  |  Procesory
Storage a RAM
Monitory  |  Ostatní
Akumulátory, EV
Robotika, AI
Průzkum vesmíru
Digimanie  |  TV Freak  |  Svět mobilně

Muž našel chybu u dronů DJI. Místo odměny výrobce hrozí právními kroky

23.11.2017, Milan Šurkala, aktualita
Muž našel chybu u dronů DJI. Místo odměny výrobce hrozí právními kroky
Výzkumník našel na GitHubu volně se povalující privátní klíče k serverům DJI. Upozornil výrobce na chybu a ten ho chtěl dokonce zaměstnat. Postupně však změnil názor a hrozí mu dokonce i právními kroky. 
DJI před pár měsíci (28. srpna) spustilo bug bounty program, kdy lidé, kteří najdou a zdokumentují závažný problém v dronech DJI, mohou dostat peněžitou odměnu ve výši 100 až 30 tisíc dolarů. Kevin Finisterre se tak začal hrabat ve zdrojových kódech DJI veřejně přístupných na GitHubu, načež našel velmi závažný bezpečnostní prohřešek. Některý z vývojářů tu nechal privátní klíče ke cloudovým serverům DJI a Finisterte tak byl schopen se dostat k datům uživatelů dronů. Tyto klíče byly patrně zveřejněny po dobu více než 4 let.
 
DJI Spark
 
Šlo nejen o záznamy letů, ale také fotografie, řidičské či jiné průkazy a dokonce se dostal k záznamům z vládních domén (včetně průkazů čínských státních činitelů nebo údaj z domén *.mil, *.gov a podobně). Připomeňme, že americká armáda už v srpnu dostala zákaz používat drony DJI právě z obav o bezpečnost. 
 
Finisterre se se svým nálezem podělil s DJI a firma jej dokonce chtěla zaměstnat na dořešení problému. Nabídla mu také odměnu 30 tisíc USD. V e-mailové komunikaci čítající na 130 e-mailů ale DJI postupně obrátilo a začalo couvat, že na nedostatky serverů se bug bounty program nemusí vztahovat a nebylo to ještě rozhodnuto, přestože o tom byl původně ujištěn. Problémem bylo totiž i to, že podmínky bug bounty programu byly dost vágně popsány a Finesterre se na ně opakovaně doptával.
 
Za upozornění na chybu mu poděkovali, ale také mu zároveň napsali, že si vyhrazují právo na právnické kroky, protože neautorizovaně přistupoval k tajným informacím dle CFAA (Computer Fraud and Abuse Act). Finální nabídka peněz, ale zároveň mlčení a stále hrozby právního postihu, se výzkumníkovi a jeho právníkům pochopitelně nelíbila a odmítl ji. Finisterre pak svou zprávu zveřejnil ve formě 18stránkového PDF a od té doby o něm DJI hovoří už jen jako o hackerovi. Připomeňme, že v letošním létě se podobné vyhrožování postihem dost vymstilo systému maďarské MHD, kde byl nálezce chyby dokonce předvolán na policii.