DJI Spark Source - DigitalTrends
DJI-drönare är den heta trenden från 2000-talet. Men eftersom de är funktionella och välbyggda kan vissa sårbarheter i dem utgöra ett allvarligt hot mot din säkerhet. Eftersom dessa drönare är beroende av att ett DJI-konto är funktionellt kan du hamna i allvarliga problem om en hacker får tillgång till ditt konto. Hackaren kan komma åt din drönare och flyga eller krascha in i en känslig mer eller ingen flugazon. Inte bara det, personlig information kan också nås via utnyttjandet och det kan sätta dig i större fara. Enligt forskare vid cybersäkerhetsföretaget Kontrollpunkt , DJI-konton har tre stora sårbarheter:
- Säker cookiefel i DJI-identifieringsprocessen
- Ett fel i XSS-skript (cross-site scripting) i dess forum
- Ett SSL-fästproblem i sin mobilapp
Hackare kan utnyttja ovan nämnda svagheter genom att bara lägga upp en länk i ett av forumen som klickbete och så snart användaren loggar in på sitt DJI-konto, Voila! De har fullständig åtkomst till kontot. Hackarna kan använda den för att spåra drönarens rörelser genom live karttäckning som också kan avslöja användarens plats. De får till och med tillgång till användarens personliga foton som tagits via kameran.
Utnyttja Infographic
Källa - TheHackerNews
Dessutom kan hackare också få tillgång till din drönare direkt genom att bombardera den med flera trådlösa anslutningsförfrågningar i snabb följd och därmed fungera felaktigt i datapaketet och krascha drönaren. Hackaren kan skicka drönaren ett exceptionellt stort datapaket som skulle överskrida drönarens buffertkapacitet och omedelbart krascha den. Dessutom kan hackaren skicka ett falskt digitalt paket från sin bärbara dator eller dator, vilket kan utgöra en signal som skickas från den verkliga styrenheten, så att de kan styra din drönare. Med hjälp av din drönare kan hackarna till och med begå potentiella brott som att flyga den till känsliga områden och du vet aldrig. På samma sätt, genom att ta kontroll över ditt konto, kan hackarna enkelt stjäla din drönare genom att landa den på sin egen tröskel.
Dessa sårbarheter upptäcktes genom DJI: s bug bounty-program , där forskare uppmuntras att rapportera det upptäckta felet i utbyte mot en ekonomisk belöning. Även om de exakta uppgifterna om den ekonomiska belöningen som förvarades hölls dolda, sägs belöningen för bug bounty vara upp till $ 30 000 för att rapportera en enda sårbarhet. thehackernews.com hävdar att sårbarheten rapporterades till säkerhetsteamet i mars 2018 och problemet löstes framgångsrikt sex månader senare i september 2018. DJI klassificerade säkerhetsfelet som 'hög risk - låg sårbarhet' på grund av dess krav på att användaren redan skulle vara inloggad deras DJI-konto. Ändå har den senaste säkerhetsuppdateringen adresserat systemets mottaglighet för sådana attacker där data i hemlighet vidarebefordras till hackaren.
Taggar säkerhet
![[FIX] Antivirusvarning - Nedladdning av bilagor inaktiverade i Gmail](https://jf-balio.pt/img/how-tos/60/anti-virus-warning-downloading-attachments-disabled-gmail.jpg)
