DJI Spark Source - DigitalTrends
Máy bay không người lái DJI là xu hướng nóng của thế kỷ 21. Tuy nhiên, vì chúng hoạt động tốt và được xây dựng tốt, một số lỗ hổng trong chúng có thể đe dọa nghiêm trọng đến bảo mật của bạn. Vì những máy bay không người lái này dựa vào tài khoản DJI để hoạt động, bạn có thể gặp rắc rối nghiêm trọng nếu một hacker xâm nhập vào tài khoản của bạn. Tin tặc có thể truy cập máy bay không người lái của bạn và bay hoặc đâm nó vào một khu vực nhạy cảm hơn hoặc không có ruồi. Không chỉ vậy, thông tin cá nhân cũng có thể bị truy cập thông qua việc khai thác và điều đó có thể khiến bạn gặp nhiều nguy hiểm. Theo các nhà nghiên cứu tại, công ty an ninh mạng Điểm kiểm tra , Tài khoản DJI có ba lỗ hổng chính:
- Lỗi Cookie an toàn trong quy trình nhận dạng DJI
- Một lỗ hổng tập lệnh trên nhiều trang web (XSS) trong Diễn đàn của nó
- Sự cố Ghim SSL trong ứng dụng di động của nó
Tin tặc có thể khai thác những điểm yếu nêu trên bằng cách chỉ đăng một liên kết tại một trong các diễn đàn làm mồi nhấp chuột và ngay sau khi người dùng đăng nhập vào tài khoản DJI của mình, Thì đấy! Họ có toàn quyền truy cập vào tài khoản. Tin tặc có thể sử dụng nó để theo dõi chuyển động của máy bay không người lái thông qua phạm vi phủ sóng của bản đồ trực tiếp, điều này cũng có thể tiết lộ vị trí của người dùng. Họ thậm chí có quyền truy cập vào ảnh cá nhân của người dùng được chụp qua máy ảnh.
Khai thác đồ họa thông tin
Nguồn - TheHackerNews
Hơn nữa, tin tặc cũng có thể truy cập trực tiếp vào máy bay không người lái của bạn bằng cách bắn phá nó với nhiều yêu cầu kết nối không dây liên tiếp nhanh chóng, do đó làm hỏng gói dữ liệu và làm hỏng máy bay không người lái. Tin tặc có thể gửi cho máy bay không người lái một gói dữ liệu đặc biệt lớn vượt quá dung lượng bộ đệm của máy bay không người lái và ngay lập tức làm sập nó. Ngoài ra, tin tặc có thể gửi một gói kỹ thuật số giả từ Máy tính xách tay hoặc PC của họ, gói này có thể là tín hiệu được gửi từ bộ điều khiển thực, cho phép họ điều khiển máy bay không người lái của bạn. Sử dụng máy bay không người lái của bạn, tin tặc thậm chí có thể thực hiện các tội ác tiềm ẩn như bay nó đến các khu vực nhạy cảm mà bạn sẽ không bao giờ biết. Tương tự, bằng cách kiểm soát tài khoản của bạn, tin tặc có thể dễ dàng đánh cắp máy bay không người lái của bạn bằng cách hạ cánh nó ngay trước cửa nhà của chúng.
Các lỗ hổng này được phát hiện thông qua Chương trình tiền thưởng lỗi của DJI , nơi các nhà nghiên cứu được khuyến khích báo cáo lỗi được phát hiện để đổi lấy phần thưởng tài chính. Mặc dù các chi tiết chính xác về phần thưởng tài chính được đưa ra đã được giấu kín, nhưng phần thưởng tiền thưởng lỗi được cho là lên đến 30.000 đô la cho việc báo cáo một lỗ hổng duy nhất. thehackernews.com tuyên bố rằng lỗ hổng bảo mật đã được báo cáo cho nhóm bảo mật vào tháng 3 năm 2018 và vấn đề đã được giải quyết thành công sáu tháng sau vào tháng 9 năm 2018. DJI đã phân loại lỗ hổng bảo mật là 'lỗ hổng bảo mật rủi ro cao - thấp' do yêu cầu người dùng phải đăng nhập. tài khoản DJI của họ. Tuy nhiên, bản vá bảo mật mới nhất đã giải quyết tính nhạy cảm của hệ thống đối với các cuộc tấn công như vậy trong đó dữ liệu được chuyển tiếp bí mật đến tin tặc.
Thẻ Bảo vệ
