8.11.2018 18:29 | Bezpečnosť

Hackeri mohli odpočúvať drony DJI aj letecký denník

Hackeri sa mohli dostať aj k leteckej histórii či fotkám.
Hackeri sa mohli dostať aj k leteckej histórii či fotkám. Zdroj: Check Point Research

DJI systém zabezpečilo a neeviduje žiadne zneužitie slabiny.

Čínske DJI už roky patrí k popredným výrobcom vyššej strednej triedy amatérskych aj profesionálnych dronov. Súčasťou jej ovládacej mobilnej aplikácie je aj možnosť synchronizácie letových záznamov na web DJI, takže aj keď by ste dron s aplikáciou uviedli do továrenského nastavenia, neprídete o letový denník. Ten je dôležitý napríklad pre servisné úkony (výmena vrtúľ po určitom počte nalietaných kilometrov a podobne).

Experti z Check Point Research avšak už tento rok na jar odhalili kritickú zraniteľnosť v prihlasovaní na web DJI, ktorá mohla viesť ku krádeži identity. Principiálne nejde o nič nové – ide o získanie používateľského tokenu, ktorý je v prehliadači uložený po úspešnom prihlásení.

V minulosti s tým mal problém napríklad aj Facebook, takže ste sa mohli bez znalosti hesla prihlásiť do cudzieho účtu, stačilo v lokálnej sieti zachytiť príslušný token. V tomto prípade je celá vec pikantná v tom, že sa prípadný hacker môže dostať v podstate ku všetkým synchronizovaným údajom z dronov, vrátane ich kompletnej leteckej histórie, fotkám a podobne.

Krádež podobných dát by mohla poslúžiť pri cielenom útoku skôr na drony DJI, ktoré používa komerčná alebo aj štátna sféra, ako na amatérsky Mavic Air hociktorého fanúšika lietania. DJI navyše nedávno predstavila verziu Mavic 2 Enterprise pre záchranárov, policajné zbory a podnikovú sféru.

Check Point o zraniteľnosti informoval DJI, ktoré medzičasom pracovalo na lepšom zabezpečení, takže teraz ju už mohli experti bezpečne zverejniť. DJI zatiaľ našťastie neeviduje, že by chybu niekto skutočne zneužil.

Diskusia 1 Príspevkov