大疆的漏洞獎勵計劃來了，美國的「安全控訴」是不是可以歇會兒了？

本周一，大疆宣布啟動漏洞獎勵計劃，意在獎勵任何發現軟體漏洞的人員，獎勵金額在100到30000美元之間，大疆表示會建立專門的網站來介紹漏洞獎勵計劃的詳細條款和提交漏洞的格式，感興趣的研究人員可以直接將漏洞報告提交給公司。

大疆表示：

漏洞獎勵計劃旨在保護用戶的個人數據，比如用戶的個人信息，照片，視頻，還有飛行記錄。漏洞範圍包括安全漏洞，隱私威脅，還有簡單的應用程序崩潰。還有那些影響安全飛行的問題，比如限飛區，飛行高度限制，還有電源警告的問題等。

大疆在以前並沒有給安全研究人員提供一個可以交流安全問題的平台，當研究人員不知道這些發現的安全問題如何引起大疆的注意時，他們只能在社交媒體或其他論壇上告知我們。

值得注意的是，在推出漏洞獎勵計劃的不久前，sUAS News網站獲得的一份備忘錄顯示，美國軍隊將立即停止使用大疆無人機。

備忘錄內容表示大疆無人機有安全漏洞：

由於越來越感覺到大疆產品存在網路漏洞，要求美國軍隊停止使用所有大疆的產品。

早在今年 5 月，sUAS News網站發表了一篇文章，其主題為大疆無人機的安全問題。文章指出，按照大疆無人機搭載的DJI GO 4 應用的默認設置，包括遙測數據、視頻和音頻在內的飛行記錄的細節將上傳至位於美國、大陸和香港地區的伺服器。然而美國軍方是不會允許在不知情的情況下將其飛行細節上傳至DJI伺服器，因此最近發現的安全漏洞可能足以讓美國軍方重新考慮是否使用大疆的技術。

大疆回應：被「封殺」，感到十分驚訝和失望

就美軍封殺事件，大疆的一位發言人稱：

就美國軍方限制大疆無人機的使用的報道，我們感到驚訝和失望，因為在他們做出該決定的過程中沒有徵詢我們的意見。我們很高興與包括美國軍隊在內的任何組織直接合作，它們可能對我們如何管理網路方面的問題有所擔憂。我們將與美國軍方聯繫，以確認備忘錄的內容，並了解『網路安全漏洞』具體指的是什麼。

其實在今年8月，大疆宣布了將在9月份向無人機推送安全更新，增加新的隱私模式，在該模式下，無人機將不能聯網工作，與網路之間的數據傳輸也會被切斷，在該模式下，用戶仍可以讓無人機連接手機，並使用部分自動功能，無人機的飛行安全性也不會受到影響。

但同時，大疆對無人機聯網的必要性進行了辯護，強調這是為了傳輸有用的信息，大疆副總裁Brendan Schulman表示：

「大疆的飛行控制 APP 會定時聯網，對地圖、地理數據、APP 版本、無線電頻率、能耗以及其它關乎飛行安全和功能的信息進行核查。」

「封殺」是否合理，還看大疆是否牢不可摧

美軍對於無人機的封殺是否有道理呢？當然這還要看大疆本身在安全上是否真的堅不可摧，雖然大疆在業界處於領先地位，但也確實存在一些安全上的漏洞，這也讓黑客們有了可乘之機。

3.15晚會曝光大疆無人機漏洞

在去年的315晚會上，大疆無人機被黑客劫持作為案例出現在信息安全板塊中。視頻中展示了無人機在黑客的操縱下，脫離了機主的控制任由黑客擺布。報道出來后，引發了很多人對於大疆無人機安全問題的討論。

本次央視爆出的漏洞其實是在去年的黑客大賽GeekPwn上發現的，當時黑客利用了無線劫持的技術獲取了無人機的控制權，無人機可以在遙控器毫無被操控的情況下自動起飛。

其實這種劫持事件最關鍵的漏洞在於WiFi的不安全，WiFi路由器很容易被黑客攻破。想要避免被劫持的最好方式是進行控制信號加密。

但根據央視的後續報道以及後續回應可知，大疆早在漏洞爆出后就及時地進行了固件升級，而此次央視的報道也並非針對智能硬體產品的打壓，而是提醒廣大觀眾其中的安全風險。

CopterSafe推出大疆機型破解方案

今年6月，俄羅斯CopterSafe公司推出了適用於DJI Mavic Pro、Phantom 4 Pro、Inspire 2等熱門機型的破解方案。

這家公司是專門幫助飛行員改變無人機的固件，以躲避DJI的禁飛區、高度和限速。並以每台200多美元的價格出售。但最近幾周，黑客對該軟體進行了反向設計，並免費發布了改變DJI無人機固件的指令，導致越來越多的無人機飛行員繞開了DJI對其產品實施的飛行限制。

黑飛屢禁不止

上面的案例如果覺得不痛不癢的話，那下面的例子就比較危險了。

今年4月，層出不窮的「黑飛」事件就已經頻繁出現了大家的視野中。

今年四月，成都雙流機場連續發生多起疑似無人駕駛航空器干擾民航航班正常起降事件，僅4月14日、17日、18日和21日四天就導致百餘架次航班被迫備降或返航，超過萬名旅客受阻滯留機場。大疆昨日晚間公告稱，將出資獎勵提供案件舉報線索人員，最高額獎勵為人民幣100萬元。

其實對於「黑飛」事件，大疆在設計無人機之初就已經想到了這樣的情況，在無人機中加入了禁飛區域和飛行高度限制的設定。

然而還是有些「黑飛者」採用了特殊技術手段，對無人機進行了類似安卓手機「root」的方式，突破了大疆的禁飛區設置，特意在機場附近起飛多次。

漏洞獎勵計劃，或許會是解藥

大疆在「封殺」之後，馬上提出了自己的漏洞獎勵計劃，對於安全研究人員來說，無疑是增加了一個可以官方的交流安全問題的平台，加入獎勵機制之後，研究者們對於安全漏洞的提交也會更加踴躍，也能讓外界看到一個國際化廠商對待「安全問題」的開放性態度。

相信這對於大疆，對於整個無人機行業，安全問題都會變得越來越受人重視。也相信這些改進可以讓無人機這樣的新生事物少一些外部的非議。