Check Point scopre vulnerabilità nel drone DJI

Check Point scopre vulnerabilità nel drone DJI

I ricercatori di Check Point Research, società israeliana leader mondiale in sicurezza informatica, e l’azienda cinese DJI (Dà-Jiāng Innovations), leader mondiale nel settore dei droni civili e delle tecnologie di imaging aereo, hanno recentemente scoperto un bug nella tecnologia del drone DJI.

La vulnerabilità se sfruttata consentirebbe a un aggressore di accedere all’account DJI di un utente senza che l’utente ne sia a conoscenza, prelevando dati utente, foto e video.

I ricercatori Oded Vanunu, Dikla Barda e Roman Zaikin, hanno scoperto la potenziale vulnerabilità nel processo di identificazione degli utenti all’interno del DJI Forum, un forum online sponsorizzato dalla società DJI con riferimento ai suoi prodotti.

Il bug se sfruttato avrebbe potuto compromettere i registri di volo, le foto, i video, l’audio, le mappe e le informazioni sul profilo degli utenti.

Check Point scopre vulnerabilità nel drone DJI -

I ricercatori sul sito di Check Point spiegano come sono stati in grado di ottenere l’accesso alle informazioni sensibili sul volo dei droni DJI, dove risiede la vulnerabilità e come funziona.

Check Point ha detto che i suoi ricercatori hanno scoperto che le piattaforme di DJI utilizzavano un token per identificare gli utenti registrati attraverso diversi aspetti della customer experience, rendendolo un target per gli hacker alla ricerca di modi per accedere agli account.

I ricercatori hanno affermato che gli utenti non riceverebbero alcuna notifica che un hacker ha effettuato l’accesso al proprio account, mentre l’utente malintenzionato avrebbe “accesso completamente privo di inibizioni al login e quindi visualizzare la telecamera del drone durante le operazioni live di qualsiasi volo attualmente in corso, o scaricare i dati dei voli precedentemente registrati che erano stati caricati sulla piattaforma FlightHub”.

Check Point ha informato DJI della vulnerabilità nel marzo 2018 e l’azienda cinese ha subito riparato il bug. Dà-Jiāng Innovations ha classificato la vulnerabilità come “ad alto rischio ma a bassa probabilità” e ha indicato che non ci sono prove che questa vulnerabilità sia stata sfruttata da altri che non siano i ricercatori di Check Point.

RetweeTech