继Facebook早前爆出数千万帐户的个人资料被盗取后,DJI也成为骇客的目标。外国网站爆DJI的用户身份认证存在安全漏洞,让黑客有机会黑入个别用户。所幸是,DJI方面已修补了有关漏洞。黑客可通过欺骗DJI 用户点击无人机论坛内发布的恶意连结来盗取cookie。

将有关用户的识别token 换成自己的token,借此黑入他们的整个帐户。

DJI 被爆身份认证存安全漏洞,帐户随时可被黑入幸已修补-而后网

盗取cookie黑入帐户

该系统本使用识别tokens及cookies来让用户可在不同平台无缝登录;然而研究人员发现,黑客可通过欺骗DJI用户点击无人机论坛内发布的恶意连结来盗取cookie,再将有关用户的识别token换成自己的token,借此黑入他们的整个帐户,包括可登录DJI手机App、网页版及FlightHub。

DJI 被爆身份认证存安全漏洞,帐户随时可被黑入幸已修补-而后网

飞行纪录、相片影片可被盗

DJI 帐户被盗取后,用户会有什么损失?Check Point 指出,黑客可取得用户同步至DJI 云端的飞行纪录、相片和影片﹐以及无人机即时图传画面等。Check Point 的威胁防御组(threat prevention team)组长Oded Vanunu 更称,用户的个人资料,包括信用卡详情都可能被盗取。

DJI 被爆身份认证存安全漏洞,帐户随时可被黑入幸已修补-而后网

DJI 已修补漏洞

随着无人机的工商应用增加,除了数以十万计的个人用户,不少商业用户也曝露在网络安全的危机之中。幸好,Check Point 已通知DJI 及时修补了相关漏洞。

今年9 月,Facebook 有5,000 万用户的个人资料被盗取,同样也属于身份识别的token 漏洞。