Di Hari Valentine, aku membawakanmu sebuah cerita yang kemudian menjadi berita utama di seluruh dunia: Bagaimana seorang pria, yang baru saja mencoba mengarahkan robot DJI-nya dengan gamepad PlayStation, menemukan seluruh jaringan yang terdiri dari 7.000 robot DJI dengan kendali jarak jauh yang siap membiarkannya mengintip ke rumah orang lain.
Untuk lebih jelasnya, DJI sudah mulai mengatasi beberapa kerentanan terkait sebelum orang tersebut, Sammy Azdoufal, menunjukkannya. Tepi seberapa banyak yang bisa dia akses. Namun tidak jelas apakah DJI akan membayarnya atas penemuannya, terutama setelahnya bagaimana mereka memperlakukan peneliti keamanan Kevin Finisterre pada tahun 2017 — atau seberapa cepat DJI dapat sepenuhnya menambal kerentanan tambahan yang ditemukan Azdoufal.
Hari ini, kami memiliki beberapa jawabannya.
DJI akan membayar Azdoufal $30,000 untuk satu penemuan, menurut email yang dia bagikan Tepitanpa menentukan penemuan mana yang dibayarnya. Meskipun DJI tidak menyebut nama Azdoufal, namun pihaknya mengonfirmasi demikian Tepi mereka telah “memberi penghargaan” kepada peneliti keamanan yang tidak disebutkan namanya atas pekerjaan mereka.
DJI juga tidak akan memberi tahu kami penemuan mana yang harus dibayar, namun mengatakan bahwa pihaknya telah mengatasi kerentanan tambahan yang ditemukan Azdoufal di mana seseorang dapat melihat streaming video DJI Romo tanpa memerlukan pin keamanan. “Kami dapat mengonfirmasi bahwa pengamatan keamanan kode PIN telah diatasi pada akhir Februari,” bunyi pernyataan yang diberikan oleh juru bicara DJI Daisy Kong.
Anda mungkin bertanya-tanya: Bagaimana dengan kerentanan yang tampak begitu buruk sehingga kami menolak untuk menjelaskannya dalam cerita asli kami? DJI mengatakan kepada saya bahwa mereka juga sedang mengerjakan hal tersebut: “Kami juga telah mulai meningkatkan keseluruhan sistem. Ini mencakup serangkaian pembaruan, yang kami perkirakan akan diterapkan sepenuhnya dalam waktu satu bulan.”
DJI juga telah menerbitkannya posting blog publik hari ini tentang memperkuat keamanan DJI Romo, yang terus mengklaim bahwa merekalah yang menemukan masalah aslinya, sekaligus memuji “dua peneliti keamanan independen” yang menemukan masalah yang sama.
Di sana, DJI sepertinya menyarankan semuanya sudah diselesaikan dengan Romo: “Pembaruan telah diterapkan untuk menyelesaikan masalah sepenuhnya.” Tapi sekali lagi, tidak hanya ada satu kerentanan, dan DJI memberi tahu Tepi bahwa itu bisa memakan waktu hingga satu bulan lagi.
Dalam postingan blognya, DJI juga mengatakan bahwa Romo sudah memiliki sertifikasi keamanan ETSI, EU, dan UL — yang mungkin menimbulkan pertanyaan tentang seberapa berguna sertifikasi tersebut jika seseorang dengan Claude Code dapat mengakses seluruh jaringan yang penuh dengan robovac! — dan akan terus menguji, menambal, dan mengirimkan Romo dan aplikasinya ke audit keamanan pihak ketiga yang independen.
DJI menulis bahwa mereka “berkomitmen untuk memperdalam keterlibatan kami dengan komunitas riset keamanan, dan kami akan segera memperkenalkan cara-cara baru bagi para peneliti untuk bermitra dan berkolaborasi dengan kami.”
Ikuti topik dan penulis dari cerita ini untuk melihat lebih banyak hal serupa di feed beranda hasil personalisasi Anda dan untuk menerima pembaruan email.
