В платформе для управления дронами DJI выявлена опасная уязвимость
Компания Check Point рассказала об опасной уязвимости, обнаруженной в инфраструктуре управления беспилотными летательными аппаратами DJI.
Проблема, как сообщается, связана с особенностями процесса идентификации пользователей на онлайн-форуме DJI Forum. Исследование показало, что серверный интерфейс DJI идентифицирует каждого пользователя с тем же идентификационным маркером на всех платформах. Это открывает путь к осуществлению XSS-атаки: злоумышленникам достаточно собрать идентификационный токен пользователя с помощью обычной ссылки, размещённой на форуме DJI, чтобы взломать аккаунт жертвы на всех платформах.
В случае успеха злоумышленники могут получить полный доступ к учётной записи пользователя. Это, к примеру, даёт возможность похищать журналы полётов, а также фотографии и видеозаписи с дронов, если пользователь синхронизировал их с облачными серверами DJI.
Кроме того, в режиме реального времени могут быть украдены снимки с камеры и запись траектории полёта, если используется программное обеспечение для управления полётом FlightHub DJI.
Наконец, атакующие получают возможность похитить персональную информацию жертвы, например, данные профиля, сведения о кредитной карте и пр.
Специалисты Check Point уже уведомили компанию DJI о проблеме, и уязвимость была устранена. Сейчас описанная брешь не представляет угрозы для пользователей платформы DJI.
Источник:
© 3DNews
