Check Point研究人员披露DJI基础设施潜在漏洞细节

Check Point和DJI的研究人员今天分享了可能影响DJI基础设施的潜在漏洞的细节。

漏洞影响

如果被利用，该漏洞将使攻击者完全访问用户的帐户及其中的信息，包括他们的无人机拍摄的视频片段和照片以及飞行路径，GPS位置和其他机密数据，而无需用户了解任何入侵。

研究人员概述了攻击者可能通过DJI论坛（一个DJI赞助的关于DJI产品的在线论坛）中的用户识别过程中发现的漏洞获得用户帐户访问权的过程。研究人员发现，DJI的平台使用令牌来识别客户体验不同方面的注册用户，这可能是黑客攻击账户及其持有的数据的目标。

已经将他们的航班记录（包括照片，视频和航班日志）同步到DJI的云端服务器的DJI消费者用户，以及使用DJI FlightHub软件的DJI企业用户，其中包括实时摄像头，音频和地图视图，将会变得脆弱。此漏洞已被修补，并且没有证据表明它曾被利用过。

漏洞披露

Check Point Research根据DJI的Bug Bounty计划通知DJI。大疆工程师审核了Check Point提交的报告，并将其标记为高风险/低概率。这是由于潜在的攻击者可以利用它之前需要满足的一系列先决条件。DJI客户应始终使用最新版本的DJI GO或GO 4试用版应用程序。

Check Point和DJI建议所有用户在数字交换信息时保持警惕。在网上与他人交往时，始终要练习安全的网络习惯，并质疑在用户论坛和网站上看到的信息链接的合法性。

大疆回应

“我们对Check Point研究人员通过负责任地披露潜在关键漏洞所展示的专业知识表示赞赏，”DJI北美区副总裁兼区域经理Mario Rebello说。“这正是DJI首先建立我们的Bug Bounty计划的原因。所有技术公司都明白，支持网络安全是一个永无止境的持续过程。“

“鉴于DJI无人机的普及，重要的是这样的潜在关键漏洞能够快速有效地解决，我们赞赏DJI这样做，”Check Point产品漏洞研究负责人Oded Vanunu说。“在发现这一发现之后，组织必须了解敏感信息可以在所有平台之间使用，如果在一个平台上暴露，可能会导致全球基础设施受损。”

原文地址：https://www.helpnetsecurity.com/2018/11/08/dji-plugs-security-flaws/