無人機漏洞或危及企業數據

更多全球網路安全資訊盡在E安全官網www.easyaq.com

小編來報：Check Point研究人員開發了一種可用於挾持DJI（大疆創新）無人機用戶賬戶的攻擊，賬戶中包含用戶的敏感信息以及對設備本身的訪問權。

據報道，Check Point研究人員開發了一種XSS攻擊，該攻擊可發布在成百上千名DJI客戶使用的DJI論壇上，以攔截識別令牌，並藉此以客戶身份進行登陸。

該攻擊證明了無人機雲網路中存在漏洞且訪問該漏洞不受地點限制，強調了雙因素身份驗證機制與優化身份（認證）機制的必要性，以及在IT網路中組織細分的重要性，以便控制以及限制由潛在攻擊造成的損害。

攻擊者進入網頁論壇，竊取cookie ID並完成登陸，之後利用失竊信息或繞過SeNeo Mobile保護以訪問DJI移動端應用程序，或訪問DJI Flight Hub上的全部信息。

一旦完成以上操作，攻擊者便可訪問無人機飛行記錄、飛行時所拍照片、支付詳情、實時訪問無人機攝像頭、無人機飛行員攝像機及其位置。由於DJI客戶識別過程存在漏洞，研究人員可挾持用戶的賬戶並完全控制任一雲平台及其中儲存的數據。

打開今日頭條，查看更多精彩圖片

無人機本身也被用於發起攻擊。

DJI無人機應用於多個行業，包括關鍵基礎設施、製造業、農業、建築業、應急管理部、政府部門、軍隊及其他部門，這表示攻擊者有機會借之竊取關鍵信息。

研究人員指出，無人機可通過飛行路徑、照片、航拍錄像與地圖的形式提供有價值的偵察信息。那些針對關鍵基礎設施的攻擊者可通過發電站、水壩及其他設施竊取複雜的詳情及圖片信息。

針對快遞與物流公司的攻擊者可獲取路線信息，並獲知所運輸的包裹為何物、在何處以及運往何人，以便對包裹進行攔截。

2018年3月，DJI發現了該漏洞，目前該漏洞得以修復。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！