Fehler in der DJI-Website gab Hackern Zugang zu Benutzerkonten und Live-Feeds von Quadcoptern.

Eine besorgniserregende Schwachstelle in DJI-Drohnen gab Hackern vollständigen Zugriff auf das Konto eines Benutzers, ohne dass sie es merkten.

Sicherheitsforscher von Check Point entdeckten im März einen Fehler in der Cloud-Infrastruktur des DJI, der es Angreifern ermöglichte, die Konten der Benutzer zu übernehmen und auf private Daten wie Drohnenprotokolle mit Standortdaten, Karten, Kontoinformationen und Fotos oder Videos zuzugreifen, die während des Fluges aufgenommen wurden.

DJI sagte jedoch, dass es die Schwachstelle im September behoben hat.

Die Benutzer wurden Opfer des Angriffs, indem sie auf einen bösartigen Link klickten, der über das DJI-Forum, ein Online-Forum, das das Unternehmen für Anwenderdiskussionen über seine Produkte betreibt, verbreitet wird.

Jeder Benutzer, der auf einen „speziell platzierten bösartigen Link“ klickte, hätte seine Login-Daten gestohlen bekommen können, wodurch der Hacker Zugriff auf Cloud-Daten, Kontoinformationen, Shop, Forum und andere Daten hatte.

Außerdem erhielten sie Zugriff auf Benutzerdaten von FlightHub, dem Flottenmanagementsystem des DJI, das Live-Feed-Material speichert.

Die Schwachstelle ist darauf zurückzuführen, dass Hacker die Vorteile von Authentifizierungstoken nutzen. Auf diese Weise können Benutzer zwischen verschiedenen DJI-Seiten wechseln, ohne sich jedes Mal anmelden zu müssen.

Hacker nutzten diese Funktion bei der jüngsten Datenschutzverletzung von Facebook im September, was dazu führte, dass 50 Millionen Benutzerkonten gefährdet wurden.

Das ist eine sehr tiefe Schwachstelle“, sagte Oded Vanunu, Leiter der Forschung zur Schwachstellenforschung an Check Point, WIRED.

Wir sind Drohnenfans und DJI-Fans, aber wir wollen das Bewusstsein für Schwachstellen bei der Account-Übernahme in den Systemen großer Anbieter schärfen.

Damit Benutzer auf verschiedene Dienste zugreifen können, ohne ständig einen Benutzernamen und ein Passwort eingeben zu müssen, verwenden Unternehmen eine einmalige Authentifizierung, um einen Benutzer-Token zu erstellen, der für alles gültig ist.

Aber das bedeutet, dass wir in einer Zeit leben, in der ein gezielter Angriff zu einem umfassenden Kompromiss werden kann“, fügte Vanunu hinzu.

DJI sagte, dass Check Point den Fehler durch sein Bug-Bounty-Programm gemeldet hat, und das Unternehmen hat seitdem seine Soft- und Hardware gründlich untersucht, um sicherzustellen, dass der Angriff nicht repliziert werden kann.

Letztendlich bezeichneten die DJI-Ingenieure die Schwachstelle als „hohes Risiko – geringe Wahrscheinlichkeit“, da sie im wirklichen Leben schwer durchführbar wäre.

Dies liegt daran, dass die Schwachstelle eine komplizierte Reihe von Voraussetzungen erforderte, um erfolgreich ausgenutzt zu werden: Der Benutzer müsste in sein DJI-Konto eingeloggt sein, während er auf einen speziell gesetzten bösartigen Link im DJI-Forum klickt“, sagte ein DJI-Sprecher in einer Erklärung.

DJI-Ingenieure haben diese Schwachstelle effizient und effektiv behoben, nachdem sie von Check Point Research benachrichtigt wurden. Es gibt keine Beweise dafür, dass es jemals ausgenutzt wurde.

Check Point erläuterte, wie Angreifer Zugang zu den Konten der Benutzer erhalten konnten. Der in den Foren veröffentlichte Link enthielt einen zusätzlichen Teil des Softwarecodes.

Wenn Benutzer darauf klickten, löste es stillschweigend ein Skript aus, das im Hintergrund ausgeführt wurde und „Cookies“ sammelte, die die Zugriffstoken der Benutzer enthielten.

Durch die Verwendung der Zugriffstoken konnten Hacker zusätzliche Sicherheitsebenen wie die Zwei-Faktor-Authentifizierung umgehen, was bedeutet, dass Benutzer nicht wissen würden, ob ihr Konto gefährdet war.

Dieser Fall war alarmierend, weil Drohnen viele private Informationen haben und das war etwas, das leicht genommen werden konnte“, sagte Vanunu Wired.

„Riesige Plattformen müssen vorsichtiger sein, wenn es um Übernahmen geht.

Teilen Ist Liebe! ❤❤❤ 22 shares ❤❤❤

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

shares