DJI Spark Source - DigitalTrends
DJI-droner er den varme tendens i det 21. århundrede. Men som funktionelle og velbyggede, de er, kan nogle sårbarheder i dem udgøre en alvorlig trussel mod din sikkerhed. Da disse droner er afhængige af, at en DJI-konto er funktionel, kan du lande i alvorlige problemer, hvis en hacker får adgang til din konto. Hacker kan få adgang til din drone og flyve eller kollidere den i en følsom mere eller ingen flyvezone. Ikke kun det, personlige oplysninger kan også fås via udnyttelsen, og det kan medføre, at du er i større fare. Ifølge forskere fra cybersikkerhedsfirmaet Kontrolpunkt , DJI-konti har tre store sårbarheder:
- Sikker cookie-fejl i DJI-identifikationsprocessen
- En cross-site scripting (XSS) fejl i sit Forum
- Et SSL Pinning-problem i sin mobilapp
Hackere kan udnytte de ovennævnte svagheder ved blot at sende et link i et af foraene som kliklokkemad, og så snart brugeren logger på sin DJI-konto, Voila! De har fuld adgang til kontoen. Hackerne kan bruge det til at spore dronens bevægelser gennem live kortdækning, som også kan afsløre brugerens placering. De får endda adgang til brugerens personlige fotos, der er taget via kameraet.
Udnyt infografik
Kilde - TheHackerNews
Derudover kan hackere også få adgang til din drone direkte ved at bombardere den med flere anmodninger om trådløs forbindelse i hurtig rækkefølge, og dermed fejle datapakken og styrte dronen. Hackeren sender muligvis dronen en usædvanlig stor datapakke, der overskrider dronens bufferkapacitet og øjeblikkeligt styrter den. Derudover kan hackeren sende en falsk digital pakke fra deres bærbare computer eller pc, som kan udgøre som et signal sendt fra den rigtige controller, så de kan styre din drone. Ved hjælp af din drone kan hackerne endda begå potentielle forbrydelser, såsom at flyve den til følsomme områder, og du ved aldrig. Ved at tage kontrol over din konto kan hackerne ligeledes stjæle din drone ved at lande den på deres egen dør.
Disse sårbarheder blev opdaget igennem DJI's bug bounty-program , hvor forskere opfordres til at rapportere den opdagede fejl til gengæld for en økonomisk belønning. Selvom de nøjagtige detaljer om den givne økonomiske belønning blev skjult, siges bug-bounty-belønningen at være op til $ 30.000 for rapportering af en enkelt sårbarhed. thehackernews.com hævder, at sårbarheden blev rapporteret til sikkerhedsteamet i marts 2018, og problemet blev løst med succes seks måneder senere i september 2018. DJI klassificerede sikkerhedsfejlen som 'høj risiko - lav sårbarhed' på grund af sit krav om, at brugeren allerede var logget ind deres DJI-konto. Ikke desto mindre har den seneste sikkerhedsopdatering adresseret systemets modtagelighed for sådanne angreb, hvor data hemmeligt videregives til hackeren.
Mærker Sikkerhed
