大疆程序曝漏洞可致無人機拍攝視頻泄露

據Check Point本周指出，DJI的身分認證程序含有安全漏洞，能夠讓攻擊者挾持用戶帳號，並訪問到用戶存在DJI網站、移動程序，以及無人機操作管理平台FlightHub的所有信息。

鑒於DJI在商用及消費無人機市場佔有率高達7成，越來越多的行業開始利用無人機來提供服務或執行偵測功能，無疑為用戶帳號和內容帶來風險。

今年3月研究人員發現DJI的身分認證程序含有安全漏洞，它使用一個cookie來辨識用戶並建立令牌，而攻擊者也可利用此cookie來挾持使用者的帳號；只要在DJI論壇上發布一篇含有惡意鏈接的文章，登錄DJI論壇並點選該鏈接的使用者都會曝露自己的賬戶憑證。

安全人員指出，DJI的3個雲端平台均採用同樣的使用者身分認證架構，因此，同一個身分令牌就能周遊在這3個平台上。

Check Point認為，無人機的安全危機並不只在於裝備會遭到挾持，還在於同步到雲端數據會遭竊取。例如電信業者已經利用無人機替戰場、災難地區或是其它難以到達的區域提供暫時性的網路服務；航空業者或大型電場也都會通過無人機來檢查基礎設施或是危險地帶的狀況；物流業者更是計劃用無人機來送貨。

假設無人機的用戶帳號被入侵了，攻擊者就能訪問用戶的個人信息、無人機路徑、無人機所拍攝的照片及視頻、無人機的即時視野，或者是飛行員的位置等。一旦有攻擊者取得了物流業者的無人機路徑，就有機會攔截無人機所運送的貨物，而其它行業用無人機則可能泄露所拍攝的涉密數據。

所幸的是，目前Check Point已通知DJI修補相關漏洞了。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！