פרצה חמורה אפשרה להאקרים לראות מה אתם מצלמים ברחפן ה-DJI שלכם

חוקרים ישראליים גילו חולשת אבטחה במערכות הענן של DJI, שמאפשרת גישה מלאה לחשבונות של מאות אלפי משתמשים, ומאפשרת לצפות במצלמת הרחפן ובמיקרופון שלו בשידור חי, ואפילו לשלוף פרטי אשראי בקלות

תמונה: DJI

חוקרי סייבר ישראליים בחברת צ’ק פוינט חשפו חולשת אבטחה מסוכנת למדי ברחפנים של חברת DJI, שמחזיקה בכ-70% מנתח שוק הרחפנים ברחבי העולם. הרחפנים של DJI נמצאים בשימוש על ידי צרכנים פרטיים והן בשימוש של גופים בטחוניים, כוחות שיטור, חברות תעשייתיות וארגונים רבים ומגוונים. באמצעות פרצה זו יכולים האקרים לפרוץ לחשבונות פרטיים של משתמשים ולשלוף מידע רב, ואפילו לצפות בשידור חי ממצלמת הרחפן.

לשלוף את כל המידע שלכם מ-DJI ואפילו לצפות ולהאזין לכם בקלות

זוג החוקרים, דיקלה ברדה ורומן זאיקין, גילו חולשת אבטחה מעניינת שמקורה בפלטפורמות הענן של DJI ובינהן אפליקציות המובייל של DJI, ה-Flighthub ואתר DJI (הכולל את הפורום הרשמי של החברה). חור אבטחה בתהליך ההזדהות של לקוחות DJI אל מול מערכות אלו מאפשר לפורצים להשתלט על החשבון של משתמשים בכל אחת מהפלטפורמות של החברה, ולעשות בו כרצונם.

במסגרת הדמיית הפריצה, החוקרים הצליחו לשלוף מידע רב: נתוני טיסות; תמונות שצולמו במהלך הטיסה; פרטי משתמשים; נתוני כרטיס אשראי; צילומים בזמן אמת; גישה למיקרופון בזמן אמת; מיקומים בזמן אמת של רחפן ועוד. כל זאת מבלי שהמשתמש אף יודע שהדבר מתחרש. כלומר, החוקרים הצליחו להגיע לכל מידע שהוזן לכל פלטפורמה שהיא של DJI על ידי המשתמשים. בצ’ק פוינט טוענים כי המערכת של DJI מעניקה לכל משתמש את אותו Token זיהוי בכל הפלטפורמות, ובאמצעות מתקפת XSS בפורומים של DJI ניתן לשלוף טוקנים של מאות אלפי לקוחות DJI, ובכך להכנס לחשבונם בשמם. כל מה שהחוקרים היו זקוקים לו, הוא לינק זדוני פשוט ותמים מראה

כך התבצעה המתקפה. מקור: צ’ק פוינט

“הפופולריות העצומה של רחפני DJI ממחישה עד כמה חשוב שחולשות אבטחה פוטנציאליות כמו זו שמצאנו תטופלנה במהירות האפשרית. אנחנו מעריכים את הפעילות המהירה של DJI לתיקון החולשות”. כך מסר עודד ואנונו, ראש מחלקת חולשות מוצרים בצ’ק פוינט שעמד בראש המחקר: “חברות וארגונים אשר משתפות מידע רגיש של משתמשים בין פלטרפורמות שונות חייבים לזכור שחשיפה של פלטפורמה אחת מסכנת את כלל התשתיות שלהם, וההגנה מחוייבת המציאות היא כזו שעוסקת בכלל התשתיות ולא רק באחת מהן”.

מחברת DJI נמסר: “אנו מוקירים את המומחיות של חוקרי צ’ק פוינט ואת האחריות שהפגינו בהצגת המידע המלא והרגיש על החלושה המשמעותית הזו. זו הסיבה שבעטיה הקימה DJI את תוכנית איתור הבאגים. כל חברות הטכנולוגיה מבינות שהגנת הסייבר על התשתיות שלה היא תהליך מתמשך שלא נגמר. השמירה על המשתמשים שלנו והמידע שלהם נמצאת בעדיפות עליונה ואנו מחוייבים להמשיך בשיתופי פעולה עם חוקרי אבטחה אחראיים כמו אלו של צ’ק פוינט”. כמו כן, המליצו שתי החברות להשתמש בגרסאות העדכניות ביותר של אפליקציות DJI. לבסוף, DJI טוענת כי אין בידיה מידע כי נעשה שימוש לרעה בפירצה זו.

עידן בן טובים

נולד עם ג׳ויסטיק ביד. יש לו הרבה יותר מדי גאדג׳טים והרבה פחות מדי זמן פנוי כדי לשחק עם כולם. בעל פטיש לא מוסבר לביצוע קליברציות לסוללות של מכשירים. כשהוא לא עסוק בלכתוב על טכנולוגיה, הוא אוהב לדבר עליה, והרבה

הגב

2 תגובות על "פרצה חמורה אפשרה להאקרים לראות מה אתם מצלמים ברחפן ה-DJI שלכם"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* שימו לב: תגובות הכוללות מידע המפר את תנאי השימוש של Geektime, לרבות דברי הסתה, הוצאת דיבה וסגנון החורג מהטעם הטוב ו/או בניגוד לדין ימחקו. Geektime מחויבת לחופש הביטוי, אך לא פחות מכך לכללי דיון הולם, אתיקה, כבוד האדם והדין הישראלי.

סידור לפי:   חדש | ישן | הכי מדורגים
מדהים
Guest

ערימות של יח”צ שנשענות על XSS פשוט ותכנון מערכת נאיבי – ממליץ לקרוא את הפוסט.

עופר
Guest

לא משנה שהפירצה פשוטה. היא פתחה פתח למידע עשיר ורגיש מאוד, ועל זה הגדולה של הפירסום.

wpDiscuz

תגיות לכתבה: