赞 据Check Point本周指出,DJI的身分认证程序含有安全漏洞,能够让攻击者挟持用户帐号,并访问到用户存在DJI网站、移动程序,以及无人机操作管理平台FlightHub的所有信息。
鉴于DJI在商用及消费无人机市场占有率高达7成,越来越多的行业开始利用无人机来提供服务或执行侦测功能,无疑为用户帐号和内容带来风险。
今年3月研究人员发现DJI的身分认证程序含有安全漏洞,它使用一个cookie来辨识用户并建立令牌,而攻击者也可利用此cookie来挟持使用者的帐号;只要在DJI论坛上发布一篇含有恶意链接的文章,登录DJI论坛并点选该链接的使用者都会曝露自己的账户凭证。
安全人员指出,DJI的3个云端平台均采用同样的使用者身分认证架构,因此,同一个身分令牌就能周游在这3个平台上。
Check Point认为,无人机的安全危机并不只在于装备会遭到挟持,还在于同步到云端数据会遭窃取。例如电信业者已经利用无人机替战场、灾难地区或是其它难以到达的区域提供暂时性的网络服务;航空业者或大型电场也都会通过无人机来检查基础设施或是危险地带的状况;物流业者更是计划用无人机来送货。
假设无人机的用户帐号被入侵了,攻击者就能访问用户的个人信息、无人机路径、无人机所拍摄的照片及视频、无人机的即时视野,或者是飞行员的位置等。一旦有攻击者取得了物流业者的无人机路径,就有机会拦截无人机所运送的货物,而其它行业用无人机则可能泄露所拍摄的涉密数据。
所幸的是,目前Check Point已通知DJI修补相关漏洞了。
来源: 中关村在线(北京)