Уязвимость в инфраструктуре DJI открывала доступ к фото, видео и бортовым журналам дронов
Эксперты компании Check Point обнаружили ряд уязвимостей в инфраструктуре производителя беспилотных летательных аппаратов DJI, позволявших сторонним лицам получить доступ к различной информации, включая бортовые журналы, снятые дронами фотографии и видео, карты полетов, а также подключиться к трансляции с камеры и микрофона БПЛА.
Проблема связана с процессом авторизации пользователей в учетной записи, на форуме, в мобильных приложениях Go, Go 4 и web-приложении DJI FlightHub (позволяет корпоративным пользователям управлять полетами дронов). Как обнаружили исследователи, производитель использует один и тот же cookie-файл для идентификации и доступа к ряду своих платформ. Похитив данный файл, атакующий сможет перехватить контроль над учетными записями пользователей и управлять ими под видом настоящих владельцев.
Копнув глубже, исследователи нашли способ похитить cookie-файл с помощью использования XSS-уязвимости на форуме DJI. Для осуществления атаки злоумышленнику потребуется разместить на форуме сообщение со ссылкой на вредоносный код JavaScript и заставить пользователей кликнуть по ней. Таким образом атакующий может заполучить cookie-файл DJI и токен учетной записи. Далее, воспользовавшись уязвимостью в настройках форума, злоумышленник может экспортировать Secure Cookie на стороний домен, а украденный токен позволит ему получить доступ к хранящимся в облачном сервисе архивам фотографий, планов полета и финансовой информации.
Еще одна проблема связана с некорректной настройкой механизма безопасности Certificate Pinning. Уязвимость предоставляет атакующему возможность использовать тот же токен для доступа к данным в мобильных приложениях DJI.
Специалисты обнаружили проблемы в марте нынешнего года и проинформировали производителя в рамках программы вознаграждения за найденные уязвимости. В настоящее время все уязвимости уже исправлены. По словам представителей компании, случаев их эксплуатации не выявлено.
Видео с демонстрацией атаки.
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш
