في عيد الحب، أحضرت لك قصة تصدرت منذ ذلك الحين عناوين الأخبار في جميع أنحاء العالم: كيف اكتشف رجل، كان يحاول فقط توجيه مكنسة DJI الروبوتية الخاصة به باستخدام لوحة ألعاب PlayStation، شبكة كاملة مكونة من 7000 روبوت DJI للتحكم عن بعد جاهزة للسماح له بإلقاء نظرة خاطفة على منازل الآخرين.
لكي نكون واضحين، بدأت شركة DJI بالفعل في معالجة بعض نقاط الضعف ذات الصلة قبل أن يظهر الرجل، سامي أزدوفال، الحافة فقط كم يمكنه الوصول. لكن لم يكن من الواضح ما إذا كانت شركة DJI ستدفع له مقابل اكتشافه، خاصة بعد ذلك كيف تعاملت مع الباحث الأمني كيفن فينيستر في عام 2017 – أو متى قد تتمكن شركة DJI من تصحيح نقاط الضعف الإضافية التي اكتشفها أزدوفال بالكامل.
اليوم، لدينا بعض الإجابات.
ستدفع شركة DJI لشركة Azdoufal مبلغ 30 ألف دولار مقابل اكتشاف واحد، وذلك وفقًا لرسالة بريد إلكتروني شاركها معه الحافة، دون تحديد الاكتشاف الذي يدفع له مقابله. على الرغم من أن DJI لم تذكر اسم أزدوفال، إلا أنها تؤكد ذلك الحافة لقد “كافأت” باحثًا أمنيًا لم يذكر اسمه على عمله.
لن تخبرنا شركة DJI أيضًا عن الاكتشاف الذي تدفع له مقابله، لكنها تقول إنها عالجت بالفعل الثغرة الأمنية الإضافية التي وجدها Azdoufal حيث يمكن لأي شخص مشاهدة دفق فيديو DJI Romo دون الحاجة إلى دبوس أمان. “يمكننا أن نؤكد أن الملاحظة الأمنية لرمز PIN تمت معالجتها بحلول أواخر فبراير”، جاء في بيان قدمه المتحدث باسم DJI Daisy Kong.
ربما تتساءل: ماذا عن الثغرة الأمنية التي بدت سيئة للغاية لدرجة أننا رفضنا وصفها في قصتنا الأصلية؟ وأخبرتني شركة DJI أنها تعمل على ذلك أيضًا: “لقد بدأنا أيضًا في ترقية النظام بأكمله. ويتضمن ذلك سلسلة من التحديثات، والتي نتوقع تنفيذها بالكامل في غضون شهر واحد.”
كما نشرت DJI أيضًا مشاركة مدونة عامة اليوم حول تعزيز أمان DJI Romo، حيث تستمر في الادعاء بأنها اكتشفت المشكلة الأصلية بنفسها، بينما تنسب الفضل أيضًا إلى “اثنين من الباحثين الأمنيين المستقلين” للعثور على نفس المشكلة.
هناك، يبدو أن شركة DJI تقترح أن كل شيء على ما يرام بالفعل تم حلها باستخدام Romo: “تم نشر التحديثات لحل المشكلة بشكل كامل.” ولكن مرة أخرى، لم تكن هناك ثغرة أمنية واحدة فقط، كما قالت شركة DJI الحافة أنه قد يستغرق ما يصل إلى شهر آخر.
في منشور المدونة، تقول DJI أيضًا أن Romo لديه بالفعل شهادات ETSI وEU وUL للأمان – مما قد يثير تساؤلات حول مدى فائدة هذه الشهادات حقًا إذا تمكن شخص واحد لديه Claude Code من الوصول إلى شبكة كاملة مليئة بالروبوفاكس! – وأنها ستستمر في اختبار وتصحيح وإرسال Romo وتطبيقه إلى عمليات تدقيق أمنية مستقلة تابعة لجهات خارجية.
كتبت DJI أنها “ملتزمة بتعميق مشاركتنا مع مجتمع الأبحاث الأمنية، وسنقدم قريبًا طرقًا جديدة للباحثين للمشاركة والتعاون معنا”.
