DJI是市场中一些最受欢迎的Quadcopter无人机的制造商,无意中公开了用户数据,包括飞行记录,用户帐户信息,相机,麦克风和实时饲料显示到安全公司检查点的报告。
自DJI自修补了其系统中的漏洞,这些系统可以揭示用户的实时无人机位置和动态摄像机饲料,而无人机在飞行中。
在本报告之前,DJI建立了一个Bug Bounty计划,它于2017年8月推出,为研究人员提供奖励,该研究人员向他们的财产披露潜在的脆弱性,以提高其安全声誉。
检查点发现了此特定漏洞并将其报告给专用的Bug Bounty程序,但不接受查找漏洞的奖励。
他们的研究人员发现了一个用户登录了基于DJI云的平台中的任何一个 - Web平台,Go / 4 / Pilot Mobile应用程序或Flighthug - Dji后端使用该标识符令牌提供对所有三个平台的访问用户。
但是,黑客仍然需要一个特殊的cookie,以便完全接管帐户。
不幸的是,检查点发现了DJI的热门客户论坛平台中的第二个问题,研究人员认为不会难以将恶意链接和欺骗人们删除点击。
使用这些问题在一起,潜在的攻击者可以识别用户并学习他们的信息,窃取完成身份验证所需的cookie,登录到自己的DJI帐户,然后在受害者的令牌和饼干中交换,以便黑客承担了身份受害者并完全访问他们的帐户。
DJI在解决问题时进行了尽职调查。检查点的测试表明,DJI完全重新编写了他们的系统来解决错误,而且还提高了他们的安全性。
这是否将保证当前用户或潜在的新用户不确定。
