DJI แก้ไขช่องโหว่จำนวนมากในบัญชีผู้ใช้ที่อาจอนุญาตให้แฮกเกอร์ควบคุมโดรนของคุณและขโมยข้อมูลส่วนบุคคล

ข่าว
ความปลอดภัย / DJI แก้ไขช่องโหว่จำนวนมากในบัญชีผู้ใช้ที่อาจอนุญาตให้แฮกเกอร์ควบคุมโดรนของคุณและขโมยข้อมูลส่วนบุคคล อ่าน 2 นาที

ที่มา DJI Spark - DigitalTrends



msconfig จำนวนโปรเซสเซอร์

โดรน DJI เป็นเทรนด์ร้อนแห่งศตวรรษที่ 21 อย่างไรก็ตามเนื่องจากใช้งานได้และสร้างขึ้นมาอย่างดีช่องโหว่บางอย่างในช่องโหว่เหล่านี้อาจเป็นภัยคุกคามร้ายแรงต่อความปลอดภัยของคุณ เนื่องจากโดรนเหล่านี้ต้องอาศัยบัญชี DJI เพื่อให้ใช้งานได้คุณจึงประสบปัญหาร้ายแรงได้หากแฮ็กเกอร์เข้าถึงบัญชีของคุณได้ แฮ็กเกอร์อาจเข้าถึงโดรนของคุณและบินหรือชนมันเข้าไปในเขตบินที่ละเอียดอ่อนมากขึ้นหรือไม่มีเลย ไม่เพียงแค่นั้นข้อมูลส่วนบุคคลยังสามารถเข้าถึงได้จากการแสวงหาประโยชน์ซึ่งอาจทำให้คุณตกอยู่ในอันตรายมากขึ้น ตามที่นักวิจัยของ บริษัท รักษาความปลอดภัยทางไซเบอร์ จุดตรวจสอบ บัญชี DJI มีช่องโหว่ที่สำคัญสามประการ:

  • Secure Cookie bug ในกระบวนการระบุ DJI
  • ข้อบกพร่องของการเขียนสคริปต์ข้ามไซต์ (XSS) ในฟอรัม
  • ปัญหา SSL Pinning ในแอพมือถือ

แฮกเกอร์อาจใช้ประโยชน์จากจุดอ่อนดังกล่าวข้างต้นโดยเพียงแค่โพสต์ลิงค์ในฟอรัมใดฟอรัมหนึ่งเป็นคลิกเหยื่อและทันทีที่ผู้ใช้เข้าสู่ระบบบัญชี DJI ของตน Voila! พวกเขาสามารถเข้าถึงบัญชีได้อย่างสมบูรณ์ แฮกเกอร์สามารถใช้เพื่อติดตามการเคลื่อนไหวของโดรนผ่านการรายงานแผนที่สดซึ่งยังสามารถเปิดเผยตำแหน่งของผู้ใช้ได้อีกด้วย พวกเขายังสามารถเข้าถึงรูปภาพส่วนตัวของผู้ใช้ที่ถ่ายผ่านกล้อง



ใช้ประโยชน์จากอินโฟกราฟิก

ใช้ประโยชน์จากอินโฟกราฟิก
ที่มา - TheHackerNews



นอกจากนี้แฮ็กเกอร์ยังสามารถเข้าถึงโดรนของคุณได้โดยตรงด้วยการทิ้งระเบิดด้วยคำขอเชื่อมต่อไร้สายหลายรายการติดต่อกันอย่างรวดเร็วจึงทำให้แพ็กเก็ตข้อมูลทำงานผิดพลาดและทำให้โดรนล่ม แฮ็กเกอร์อาจส่งโดรนไปเป็นแพ็กเก็ตข้อมูลที่มีขนาดใหญ่เป็นพิเศษซึ่งจะเกินความจุบัฟเฟอร์ของโดรนและทำให้มันพังทันที นอกจากนี้แฮ็กเกอร์อาจส่งแพ็คเก็ตดิจิทัลปลอมจากแล็ปท็อปหรือพีซีซึ่งอาจเป็นสัญญาณที่ส่งมาจากคอนโทรลเลอร์จริงทำให้พวกเขาควบคุมโดรนของคุณได้ การใช้โดรนของคุณแฮ็กเกอร์อาจก่ออาชญากรรมที่อาจเกิดขึ้นเช่นการบินไปยังพื้นที่อ่อนไหวและคุณจะไม่มีทางรู้ ในทำนองเดียวกันด้วยการควบคุมบัญชีของคุณแฮ็กเกอร์สามารถขโมยโดรนของคุณได้อย่างง่ายดายโดยเชื่อมโยงไปถึงหน้าประตูบ้านของพวกเขาเอง



ช่องโหว่เหล่านี้ถูกค้นพบผ่าน โปรแกรมรางวัลบั๊ก DJI ซึ่งนักวิจัยได้รับการสนับสนุนให้รายงานข้อบกพร่องที่ค้นพบเพื่อแลกกับรางวัลทางการเงิน แม้ว่ารายละเอียดที่แน่นอนของรางวัลทางการเงินที่ได้รับจะถูกซ่อนไว้ แต่รางวัลรางวัลบั๊กนั้นสูงถึง $ 30,000 สำหรับการรายงานช่องโหว่เดียว thehackernews.com อ้างว่ามีการรายงานช่องโหว่ดังกล่าวไปยังทีมรักษาความปลอดภัยในเดือนมีนาคม 2018 และปัญหาได้รับการแก้ไขสำเร็จในหกเดือนต่อมาในเดือนกันยายน 2018 DJI จัดประเภทข้อบกพร่องด้านความปลอดภัยเป็น 'ความเสี่ยงสูง - ช่องโหว่ต่ำ' เนื่องจากผู้ใช้ต้องเข้าสู่ระบบ บัญชี DJI ของพวกเขา อย่างไรก็ตามแพตช์ความปลอดภัยล่าสุดได้ระบุถึงความอ่อนไหวของระบบต่อการโจมตีดังกล่าวซึ่งข้อมูลจะถูกส่งต่อไปยังแฮ็กเกอร์อย่างลับๆ

แท็ก ความปลอดภัย