В платформе для управления дронами DJI выявлена опасная уязвимость

Компания Check Point рассказала об опасной уязвимости, обнаруженной в инфраструктуре управления беспилотными летательными аппаратами DJI.

Проблема, как сообщается, связана с особенностями процесса идентификации пользователей на онлайн-форуме DJI Forum. Исследование показало, что серверный интерфейс DJI идентифицирует каждого пользователя с тем же идентификационным маркером на всех платформах. Это открывает путь к осуществлению XSS-атаки: злоумышленникам достаточно собрать идентификационный токен пользователя с помощью обычной ссылки, размещённой на форуме DJI, чтобы взломать аккаунт жертвы на всех платформах.

В случае успеха злоумышленники могут получить полный доступ к учётной записи пользователя. Это, к примеру, даёт возможность похищать журналы полётов, а также фотографии и видеозаписи с дронов, если пользователь синхронизировал их с облачными серверами DJI.

Кроме того, в режиме реального времени могут быть украдены снимки с камеры и запись траектории полёта, если используется программное обеспечение для управления полётом FlightHub DJI.

Наконец, атакующие получают возможность похитить персональную информацию жертвы, например, данные профиля, сведения о кредитной карте и пр.

Специалисты Check Point уже уведомили компанию DJI о проблеме, и уязвимость была устранена. Сейчас описанная брешь не представляет угрозы для пользователей платформы DJI. 

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

© 3DNews