DJI mělo velký problém. Útočníci mohli odposlouchávat drony. I vašeho Mavica

Čínské DJI už roky patří k předním výrobcům vyšší třídy amatérských i profesionálních dronů. Součástí její ovládací mobilní aplikace je i možnost synchronizace letových záznamů na servery DJI, takže i když byste dron i aplikaci uvedli do továrního nastavení, nepřijdete o letový deník, který je důležitý třeba pro servisní úkony (výměna vrtulí po určitém počtu nalétaných hodin apod.)

Experti z Check Point Research nicméně už letos na jaře odhalili kritickou zranitelnost v přihlašování na weby DJI, která mohla vést ke krádeži identity. Principiálně nejde o nic nového – jedná se o získání uživatelského tokenu, který je v prohlížeči uložený po úspěšném přihlášení.

Demonstrace útoku:

V minulosti s tím měl problémy třeba i Facebook, takže jste se mohli bez znalosti hesla přihlásit do cizího účtu, stačilo v lokální síti zachytit onen token. V tomto případě je celá věc pikantní v tom, že se případný hacker může dostat v podstatě ke všem synchronizovaným údajům z dronu včetně jejich kompletní letecké historie, fotografiím atp.

Klepněte pro větší obrázekKlepněte pro větší obrázekKlepněte pro větší obrázekKlepněte pro větší obrázek
Automatický a synchronizovaný letový deník v aplikaci DJI GO

Krádež podobných dat by mohla posloužit při cíleném útoku spíše než na amatérský Mavic Air leckterého fanouška létání na drony DJI, které používá komerční nebo i státní sféra. Ostatně DJI nedávno představila verzi Mavic 2 Enterprise pro záchranáře, policejní sbory a podnikovou sféru.

Klepněte pro větší obrázekKlepněte pro větší obrázekKlepněte pro větší obrázek
Experti se pomocí krádeže autentizačního tokenu dostali k letovým záznamům na serverech DJI a to včetně služby DJI Flight Hub pro profesionální správu letu

Check Point o zranitelnosti informoval DJI, které v mezidobí pracovalo na lepším zabezpečení, takže nyní ji už mohli experti bezpečně zveřejnit. DJI zatím naštěstí neeviduje, že by chybu někdo skutečně zneužil.

Váš názor Další článek: Je vám špatně od žaludku? Google dokáže zjistit, zda za to mohla návštěva restaurace

Témata článku: Facebook, Bezpečnost, Mavic, Drony, DJI, Kvadrokoptéra, Krádež, Úspěšné přihlášení, Amatérský dron, Kritická zranitelnost, Cílený útok, Státní sféra, Podniková sféra, Velký problém, Tovární nastavení, Check Point, Zranitelnost, Token, Cizí účet, Servisní úkon, Určitý počet, Mavic air, Dobré zabezpečení, Lokální síť, Přední výrobce


Určitě si přečtěte

Moral machine: Už víme, zdali je lepší zabít psy, sebe nebo matky na přechodu

Moral machine: Už víme, zdali je lepší zabít psy, sebe nebo matky na přechodu

** Jak byste se sami vypořádali s tramavajovým dilematem? ** Vědci před lety spustili globální dotazník ** Nyní se pochlubili s výsledky

Jakub Čížek | 148

Porno insider: Jak virtuální realita vstupuje do filmů pro dospělé

Porno insider: Jak virtuální realita vstupuje do filmů pro dospělé

** Pornografie údajně představuje třetinu internetové obsahu a je technologický tahounem ** Do erotického obsahu postupně zasahuje i virtuální realita ** Kromě vizuálního vjemu se pracuje také na virtuálním uspokojení toho hmatového

Jan Dudek | 30

Astronomové objevili daleko za Plutem objekt s extrémní dráhou. Může ukazovat na existenci planety Devět

Astronomové objevili daleko za Plutem objekt s extrémní dráhou. Může ukazovat na existenci planety Devět

** Astronomové objevili daleko za Neptunem těleso 2015 TG387 ** Okolo Slunce se pohybuje po extrémně protáhlé dráze ** Jeho dráha může ukazovat na existenci planety Devět

Petr Kubala | 10


Aktuální číslo časopisu Computer

Odhalte skryté funkce Windows 10

Test levných Androidů do 4 000 Kč

Srovnání úsporných minipočítačů

Změřili jsme rychlost 10Gb/s ethernetu