研究人員揭露DJI漏洞,恐讓駭客偷走無人機拍攝的機密影像

資安業者Check Point本周指出,DJI的身分認證程序含有安全漏洞,將允許駭客挾持用戶帳號,並存取用戶存放在DJI網站、行動程式,以及無人機操作管理平台FlightHub的所有資料。

源自中國的DJI(大疆創新)為全球首屈一指的無人機製造商,在商用及消費性無人機市場的佔有率高達7成,有鑑於有愈來愈多的產業開始利用無人機來提供服務或執行偵察功能,用戶帳號及內容的外洩將帶來重大風險。

研究人員在今年3月發現DJI的身分認證程序含有安全漏洞,它使用一個cookie來辨識用戶並建立令牌,而駭客也可利用此一cookie來挾持使用者的帳號;只要在DJI論壇上張貼一則含有惡意連結的文章,讓舉凡登入DJI論壇並點選該連結的使用者都會曝露自己的登入憑證。

攻擊手法:(來源:Check Point)

由於DJI的3個雲端平台(網站、行動程式及FlightHub)都採用同樣的使用者身分認證架構,因此,同一個身分令牌就能周遊在這3個平台上。

Check Point認為,無人機的安全危機並不只在於裝置會遭到挾持,還在於同步到雲端的資料會遭到竊取,特別是在愈來愈多產業採用無人機的時代。例如電信業者已經利用無人機替戰場、災難地區或是其它難以到達的區域提供暫時性的網路服務;航空業者或大型電場也都會透過無人機來檢查基礎設施或是危險地帶的狀況;物流業者更是仰賴無人機來送貨。

假設無人機的用戶帳號被入侵了,駭客將能存取用戶的個人資訊、無人機的路徑、無人機所拍攝的照片及影片、無人機的即時視野,或者是飛行員的位置等。倘若駭客取得了物流業者的無人機路徑,就有機會攔截無人機所運送的貨物,而其它產業的無人機拍攝內容也可能洩露寶貴或機密資訊。

Check Point指出,雲端服務的優點在於到處都可存取,這同樣也讓它的帳號更容易受到駭客覬覦,雲端服務供應商應該要以雙因素身分認證機制來保護用戶的帳號安全;此外,可存取某個服務的使用者身分認證程序不應適用於所有服務,建議所有的企業都應在IT網路上採用分割政策。

接獲通知的DJI已經修補了相關漏洞,並說沒有證據顯示除了Check Point的研究人員之外,還有其它人曾開採該漏洞。

原文來自 iThome Online