„DJI Spark Source“ - „DigitalTrends“
„DJI“ bepiločiai orlaiviai yra XXI a. Kadangi jie yra funkcionalūs ir gerai pastatyti, kai kurie jų pažeidžiamumai gali kelti rimtą grėsmę jūsų saugumui. Kadangi šie bepiločiai orlaiviai tikisi, kad DJI paskyra yra funkcionali, galite patekti į rimtą bėdą, jei įsilaužėlis gauna prieigą prie jūsų paskyros. Įsilaužėlis gali prieiti prie jūsų bepiločio orlaivio ir skristi arba sudužti į jautrią daugiau ar be jokios musės zoną. Negana to, asmeninė informacija taip pat gali būti pasiekiama naudojant išnaudojimą ir tai gali sukelti jums daugiau pavojų. Pasak mokslininkų, kibernetinio saugumo įmonė Patikrinimo taškas , DJI sąskaitose yra trys pagrindiniai trūkumai:
- Saugi slapukų triktis DJI identifikavimo procese
- Kelių svetainių scenarijaus (XSS) trūkumas jo forume
- „SSL Pinning“ problema jos programoje mobiliesiems
Įsilaužėliai gali pasinaudoti minėtomis silpnybėmis tiesiog paskelbdami nuorodą viename iš forumų kaip paspaudimų masalą ir kai tik vartotojas prisijungia prie savo DJI paskyros „Voila“! Jie turi visišką prieigą prie paskyros. Įsilaužėliai gali naudoti jį drono judėjimams stebėti per tiesioginį žemėlapio aprėptį, kuris taip pat gali atskleisti vartotojo vietą. Jie netgi gauna prieigą prie asmeninių vartotojo nuotraukų, užfiksuotų per kamerą.
Išnaudoti infografiką
Šaltinis - „TheHackerNews“
Be to, įsilaužėliai taip pat gali gauti prieigą prie jūsų drono tiesiogiai bombarduodami jį keliomis belaidžio ryšio užklausomis greitai, taip sugeddami duomenų paketui ir sugadindami droną. Įsilaužėlis gali nusiųsti dronui išskirtinai didelį duomenų paketą, kuris viršytų drono buferinę talpą ir iškart jį sugadintų. Be to, įsilaužėlis gali siųsti netikrą skaitmeninį paketą iš savo nešiojamojo kompiuterio ar asmeninio kompiuterio, kuris gali būti realiojo valdiklio siunčiamas signalas, leidžiantis jiems valdyti jūsų droną. Naudodamiesi jūsų dronu, įsilaužėliai netgi gali įvykdyti galimus nusikaltimus, pavyzdžiui, skraidinti juo į jautrias vietas, ir jūs niekada to nežinote. Panašiai, įsilaužę į savo sąskaitą, įsilaužėliai gali lengvai pavogti jūsų droną, nusileisdami ant savo namų slenksčio.
Šie pažeidžiamumai buvo atrasti per DJI bug bounty programa , kur mokslininkai raginami pranešti apie aptiktą klaidą mainais į finansinį atlygį. Nors tiksli išsami informacija apie suteiktą finansinį atlygį buvo slepiama, sakoma, kad už klaidą pranešama, kad atlygis už klaidą yra iki 30 000 USD. thehackernews.com teigia, kad apie pažeidžiamumą saugos komandai buvo pranešta 2018 m. kovo mėn., o po šešių mėnesių - 2018 m. rugsėjo mėn. - problema buvo sėkmingai išspręsta. DJI saugos trūkumą priskyrė „didelės rizikos - mažas pažeidžiamumas“ dėl savo vartotojo reikalavimo jau būti prisijungus jų DJI paskyra. Nepaisant to, naujausiame saugumo pataisoje buvo atkreiptas dėmesys į sistemos jautrumą tokioms atakoms, kai duomenys slapta perduodami įsilaužėliui.
Žymos Saugumas
