-而后网

受欢迎的消费无人机制造商DJI花了大约六个月的时间 修复其网站和应用程序中的安全漏洞,如果被利用可能会让攻击者无限制地访问无人机所有者的帐户。

安全公司Check Point的研究人员周四透露,该漏洞将使攻击者能够完全访问DJI用户的云存储数据,包括无人机日志,地图,任何静态或视频片段 - 以及通过FlightHub实时提供的视频片段 。利用这个漏洞非常简单 - 要求受害者点击特制的链接。但在实践中,Check Point花费了大量时间来确定发动潜在攻击的确切方法 - 而且没有一个特别容易。

出于这个原因,DJI将漏洞称为“高风险”,但“低概率”。“鉴于DJI无人机的普及,重要的是这样的潜在关键漏洞能够快速有效地解决,”Check Point产品漏洞研究负责人Oded Vanunu说。

受害者不得不点击DJI论坛的恶意链接,客户和业余爱好者会谈论他们的无人机和活动。通过窃取用户的帐户访问令牌,攻击者可以转向访问用户的主帐户。单击恶意链接将利用论坛上的跨站点脚本(XSS)漏洞,实质上是获取用户的帐户cookie并在DJI的帐户登录页面上使用它。研究人员还发现了DJI的应用程序及其基于网络的FlightHub网站的缺陷。

Check Point于3月份推出,当时DJI在其网站上修复了XSS漏洞。“从那以后,我们已经逐步通过我们的硬件和软件中的所有元素进行产品转换,登录过程可能会受到影响,以确保这不再是一个容易复制的黑客,”DJI发言人Adam Lisberg说。

-而后网

但该公司直到9月才开始在其应用和FlightHub上推出修复程序。好消息是,任何人都不可能独立发现和利用任何漏洞,但Check Point和DJI都承认很难确切知道。“虽然没有人能证明是否定的,但我们没有看到任何证据表明此漏洞曾被利用,”利斯伯格说。

大疆预示着将这个漏洞修复为它的漏洞赏金的胜利,它在一年多前建立起来。该公司几个月之后威胁到一名安全研究员,在该公司披露了一系列来自该公司的电子邮件 后声称威胁他,并为该公司的亚马逊网络服务实例找到了敏感的访问密钥之后,它的漏洞奖励起了一个艰难的开端。

这一次,除了对bug发现者的赞扬之外别无他法。“我们对Check Point研究人员通过负责任披露潜在的重大漏洞所展示的专业知识表示赞赏,”DJI北美区负责人Mario Rebello说。

很高兴看到事情发生了变化。