Ve zprávě předložené v souladu s programem Bug Bounty popsal Check Point společnosti DJI proces, při kterém mohli útočníci potenciálně získat přístup k uživatelským účtům prostřednictvím zranitelnosti v procesu identifikace uživatele v rámci fóra DJI, online fóra o produktech DJI sponzorovaného právě společností DJI. Výzkumníci společnosti Check Point zjistili, že platformy DJI používají stejný token pro identifikaci registrovaných uživatelů napříč platformami, což z procesu dělá cíl pro hackery, kteří hledají přístupu k účtům.

DroneEspionage blog 260x260Zranitelnost se týkala uživatelů DJI, kteří synchronizovali své letové záznamy, včetně fotografií, videí a letových záznamů, na cloudové servery DJI, a firemních uživatelů DJI, kteří používali software DJI FlightHub, který obsahuje živé záběry z kamery, zvuk a zobrazení mapy. Tato zranitelnost byla záplatována a neexistují žádné důkazy, že by byla zneužita.

„Oceňujeme zkušenosti, které výzkumníci společnosti Check Point prokázali odpovědným odhalením potenciálně kritické zranitelnosti,“ říká Mario Rebello, viceprezident a country manager pro region Severní Ameriky ve společnosti DJI. „Přesně z tohoto důvodu jsme v DJI založili náš program Bug Bounty. Všechny technologické společnosti chápou, že posilování kybernetické bezpečnosti je nepřetržitý a nikdy nekončící proces. Ochrana informací našich uživatelů je pro DJI nejvyšší prioritou a budeme i nadále pokračovat ve spolupráci s odpovědnými bezpečnostními výzkumníky, jako je Check Point.“

„Vzhledem k popularitě dronů DJI je zásadní, aby potenciálně kritické zranitelnosti, jako je tato, byly vyřešeny rychle a efektivně a my DJI tleskáme za pohotovou reakci,“ říká Oded Vanunu, vedoucí výzkumu produktových zranitelností ve společnosti Check Point. „V návaznosti na zjištěné informace je důležité, aby organizace pochopily, že citlivé informace mohou být použity napříč všemi platformami, a pokud dojde k narušení bezpečnosti na jedné platformě, může to vést k ohrožení celé globální infrastruktury.

 

DJI Drone Vulnerabilities

 

Technici DJI přezkoumali zprávu předloženou společností Check Point a v souladu s politikou programu Bug Bounty ji označili za vysoce rizikovou s nízkou pravděpodobností zneužití, což je způsobeno řadou předpokladů, které by potenciální útočníci museli splnit, aby mohli slabinu zneužít. Zákazníci DJI by každopádně měli vždy používat nejnovější verze pilotních aplikací DJI GO nebo GO 4.

Check Point a DJI doporučují všem uživatelům, aby byli opatrní při digitální výměně informací. Vždy je potřeba dodržovat zásady bezpečného chování v kyberprostoru a ověřovat a prověřovat legitimitu odkazů na fórech a webových stránkách.

Celou technickou analýzu najdete na blogu společnosti Check Point: https://research.checkpoint.com/dji-drone-vulnerability/

DJI Drone Vulnerabilities