DJI Spark Source - DigitalTrends
DJI-droner er den hete trenden i det 21. århundre. Imidlertid, så funksjonelle og godt bygget de er, kan noen sårbarheter i dem utgjøre en alvorlig trussel for sikkerheten din. Ettersom disse dronene er avhengige av at en DJI-konto er funksjonell, kan du lande i alvorlige problemer hvis en hacker får tilgang til kontoen din. Hackeren kan få tilgang til dronen din og fly eller krasje den inn i en sensitiv mer eller ingen flyson. Ikke bare det, personlig informasjon kan også nås gjennom utnyttelsen, og det kan føre til at du er i større fare. Ifølge forskere ved cybersecurity-firmaet Kontrollpunkt , DJI-kontoer har tre store sårbarheter:
- Sikker informasjonskapsel i DJI-identifikasjonsprosessen
- En mangelfull skripting (XSS) i forumet
- Et SSL Pinning-problem i mobilappen
Hackere kan utnytte de ovennevnte svakhetene ved å bare legge ut en lenke i et av forumene som klikkbete og så snart brukeren logger på sin DJI-konto, Voila! De har full tilgang til kontoen. Hackerne kan bruke den til å spore dronens bevegelser gjennom live kartdekning som også kan avsløre brukerens plassering. De får til og med tilgang til brukerens personlige bilder som er tatt gjennom kameraet.
Utnytte Infographic
Kilde - TheHackerNews
Videre kan hackere også få tilgang til dronen din direkte ved å bombardere den med flere forespørsler om trådløs tilkobling i rask rekkefølge, og dermed fungere feil med datapakken og krasje dronen. Hackeren kan sende dronen en usedvanlig stor datapakke som vil overskride bufferkapasiteten til dronen og umiddelbart krasje den. I tillegg kan hackeren sende en falsk digital pakke fra sin bærbare PC eller PC, som kan utgjøre et signal sendt fra den virkelige kontrolleren, slik at de kan kontrollere dronen din. Ved å bruke dronen din kan hackerne til og med begå potensielle forbrytelser, for eksempel å fly den til følsomme områder, og du vil aldri vite. På samme måte, ved å ta kontroll over kontoen din, kan hackerne enkelt stjele dronen din ved å lande den på egen dørstokk.
Disse sårbarhetene ble oppdaget gjennom DJI’s bug bounty program , der forskere oppfordres til å rapportere den oppdagede feilen i bytte mot en økonomisk belønning. Selv om de nøyaktige detaljene for den økonomiske belønningen ble holdt skjult, sies det at belønningen for bugpremie er opptil $ 30 000 for å rapportere en enkelt sårbarhet. thehackernews.com hevder at sårbarheten ble rapportert til sikkerhetsteamet i mars 2018, og problemet ble løst med suksess seks måneder senere i september 2018. DJI klassifiserte sikkerhetsfeilen som 'høy risiko - lav sårbarhet' på grunn av kravet om at brukeren allerede skulle være logget inn. deres DJI-konto. Likevel har den siste sikkerhetsoppdateringen adressert systemets mottakelighet for slike angrep der dataene hemmelig videreformidles til hackeren.
Merker Sikkerhet
