Gadgets

Faille de sécurité dans DJI du site web et des applications exposées comptes pour les pirates et le drone de flux live

Il a fallu environ six mois pour populaire auprès des consommateurs drone maker DJI pour corriger une faille de sécurité sur son site web et les applications, qui, si elles étaient exploitées pourrait avoir donné un attaquant libre l’accès à un drone compte du propriétaire.

La vulnérabilité, a révélé jeudi par des chercheurs de l’entreprise de sécurité de Check Point, aurait donné un attaquant de l’accès complet à un DJI de l’utilisateur du cloud données stockées, y compris drone de journaux, de cartes, de tout ou d’images vidéo et en direct métrage à travers FlightHub, l’entreprise système de gestion de flotte — l’insu de l’utilisateur.

Profitant de la faille était étonnamment simple nécessitant une victime à cliquer sur un lien spécialement conçu. Mais dans la pratique, Check Point passé beaucoup de temps à essayer de comprendre la manière précise de lancer une attaque potentielle — et aucun d’entre eux ont été particulièrement facile.

Pour cette raison, DJI appelé la vulnérabilité “à risque élevé” mais “faible probabilité” étant donné les nombreuses à sauter à travers des cerceaux premier à exploiter la faille.

“Compte tenu de la popularité de drones DJI, il est important que, potentiellement, des vulnérabilités critiques de ce genre sont traitées rapidement et efficacement”, a déclaré Oded Vanunu, un Point de contrôle de la tête de produits de la vulnérabilité de la recherche.

Une victime aurait eu à cliquer sur un lien malveillant à partir de la DJI Forum, où les clients et les amateurs de parler de leurs drones et des activités. En volant le compte de l’utilisateur jeton d’accès, un attaquant pourrait avoir pivoté d’accès de l’utilisateur principal du compte. En cliquant sur le lien malveillant pourrait exploiter un cross-site scripting (XSS) faille sur le forum, essentiellement en tenant compte de l’utilisateur cookie et en l’utilisant sur DJI de la page de connexion du compte.

Les chercheurs ont également trouvé des failles dans DJI applications et sur le web FlightHub site.

En exploitant la vulnérabilité, l’attaquant pourrait reprendre le récit de la victime et d’avoir accès à l’ensemble de leurs synchronisés vols enregistrés, drone photos, et plus encore. (Image: Point De Contrôle)

Check Point atteint, en Mars, au moment où DJI correction de la faille XSS dans son site.

“Depuis, nous sommes passés, produit par produit, par le biais de tous les éléments de notre matériel et de logiciels pour lesquels le processus d’ouverture de session pourrait avoir été compromise, pour s’assurer que cela n’est plus un facilement reproductibles hack”, a déclaré DJI porte-parole Adam Lisberg.

Mais il a fallu à l’entreprise jusqu’en septembre le déploiement de correctifs à travers ses applications et FlightHub.

La bonne nouvelle, c’est qu’il est peu probable que quiconque découvert indépendamment et à exploiter l’une de ces vulnérabilités, mais les deux Check Point et DJI concéder qu’il serait difficile de savoir pour sûr.

“Alors que personne ne peut jamais prouver un négatif, nous l’avons vu aucune preuve que cette vulnérabilité n’a jamais été exploité”, a déclaré Lisberg.

DJI annonce la correction de la vulnérabilité comme une victoire pour sa bug bounty, qui elle a mis en place un peu plus d’un an. Sa bug bounty a eu un début difficile, après que la compagnie a mois plus tard, menacé d’un chercheur en sécurité, qui “marchait loin de 30 000$”, après avoir révélé une chaîne de courriels de la société prétendument menacé après la découverte sensible des clés d’accès pour la société Amazon Web Services instances.

Cette fois, il n’y avait rien que des éloges pour le bug des trouveurs.

“Nous nous félicitons de l’expertise Check Point, des chercheurs ont démontré par le responsable de la divulgation de potentiellement une vulnérabilité critique,” DJI du Nord, Amérique du chef Mario Rebello dit.

Bon de voir que les choses ont changé.

About the author

Cyriac

Je suis Zeh Cyriac , fondateur et chef de la direction de la société informatique DROP Corporation Inc. et blogueur indépendant aux États-Unis, avec une passion pour l'Entrepreneuriat en ligne, le marketing de contenu et toutes les choses qui tournent au tour du digital et ’informatique .

Add Comment

Click here to post a comment

Newsletter

Les dernières nouvelles du Web, de la high-tech et de l'innovation numérique tous les matins à l'heure du petit déjeuner.

Vous avez parfaitement souscrit ! Consultez vos mails pour confirmer l'inscription .