Đăng trên

Vi phạm bảo mật đã tạo ra tiềm năng cho tin tặc truy cập vào tài khoản của người dùng DJI Drone

Singapore, @mcgallen #microwireinfo, ngày 13 tháng 2018 năm XNUMX - Các nhà nghiên cứu tại Check Point® Software Technologies Ltd. (NASDAQ: CHKP), nhà cung cấp giải pháp an ninh mạng hàng đầu trên toàn cầu và DJI, công ty hàng đầu thế giới về máy bay không người lái dân dụng và công nghệ hình ảnh từ trên không, hôm nay đã chia sẻ chi tiết về a lỗ hổng tiềm ẩn có thể ảnh hưởng đến cơ sở hạ tầng của DJI, nếu bị khai thác.

Trong một báo cáo được gửi theo Chương trình Bounty của DJI, Check Point Research đã phác thảo quy trình mà kẻ tấn công có thể có khả năng truy cập vào tài khoản của người dùng thông qua một lỗ hổng được phát hiện trong quy trình nhận dạng người dùng trong DJI Forum, một diễn đàn trực tuyến do DJI tài trợ. về các sản phẩm của DJI. Các nhà nghiên cứu của Check Point phát hiện ra rằng các nền tảng của DJI đã sử dụng mã thông báo để xác định người dùng đã đăng ký trên các khía cạnh khác nhau của trải nghiệm khách hàng, khiến nó trở thành mục tiêu cho các tin tặc đang tìm cách truy cập tài khoản.

Người dùng tiêu dùng DJI đã đồng bộ hóa hồ sơ chuyến bay của họ, bao gồm ảnh, video và nhật ký chuyến bay với máy chủ đám mây của DJI và người dùng công ty DJI đã sử dụng phần mềm DJI FlightHub, bao gồm camera trực tiếp, âm thanh và chế độ xem bản đồ, có thể dễ bị tấn công. Lỗ hổng này kể từ đó đã được vá và không có bằng chứng nào về việc nó đã từng bị khai thác.

Mario Rebello, Phó Chủ tịch kiêm Giám đốc Quốc gia, Bắc Mỹ tại DJI cho biết: “Chúng tôi hoan nghênh chuyên môn mà các nhà nghiên cứu Check Point đã chứng minh thông qua việc tiết lộ có trách nhiệm về một lỗ hổng bảo mật nghiêm trọng. “Đây chính xác là lý do DJI thành lập Chương trình tiền thưởng lỗi của chúng tôi ngay từ đầu. Tất cả các công ty công nghệ đều hiểu rằng tăng cường an ninh mạng là một quá trình liên tục không bao giờ kết thúc. Bảo vệ tính toàn vẹn của thông tin người dùng của chúng tôi là ưu tiên hàng đầu của DJI và chúng tôi cam kết tiếp tục hợp tác với các nhà nghiên cứu bảo mật có trách nhiệm như Check Point. ”

“Với sự phổ biến của máy bay không người lái DJI, điều quan trọng là các lỗ hổng nghiêm trọng tiềm ẩn như thế này phải được giải quyết nhanh chóng và hiệu quả, và chúng tôi hoan nghênh DJI đã làm được điều đó,” Oded Vanunu, Trưởng bộ phận Nghiên cứu Lỗ hổng Sản phẩm tại Check Point cho biết. “Sau phát hiện này, điều quan trọng là các tổ chức phải hiểu rằng thông tin nhạy cảm có thể được sử dụng giữa tất cả các nền tảng và nếu bị lộ trên một nền tảng, có thể dẫn đến sự xâm phạm cơ sở hạ tầng toàn cầu”.

Các kỹ sư của DJI đã xem xét báo cáo do Check Point gửi và theo Chính sách tiền thưởng lỗi của nó, đánh dấu nó là rủi ro cao / xác suất thấp. Điều này là do một tập hợp các điều kiện tiên quyết cần phải được đáp ứng trước khi kẻ tấn công tiềm năng có thể khai thác nó. Khách hàng của DJI nên luôn sử dụng phiên bản mới nhất của ứng dụng thí điểm DJI GO hoặc GO 4.

Check Point và DJI khuyên tất cả người dùng cảnh giác bất cứ khi nào trao đổi thông tin kỹ thuật số. Luôn thực hành các thói quen an toàn trên mạng khi tương tác với những người khác trực tuyến và đặt câu hỏi về tính hợp pháp của các liên kết đến thông tin được nhìn thấy trên các diễn đàn và trang web của người dùng.

Phân tích kỹ thuật đầy đủ về lỗ hổng này có sẵn từ blog Nghiên cứu Điểm Kiểm tra: https://research.checkpoint.com/dji-drone-vulnerability/

Theo dõi Điểm kiểm tra qua:
Twitter: http://www.twitter.com/checkpointsw
Facebook: https://www.facebook.com/checkpointsoftware
Blog: http://blog.checkpoint.com
YouTube: http://www.youtube.com/user/CPGlobal
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies

Giới thiệu Check Point Software Technologies Ltd.
Check Point Software Technologies Ltd. (www.checkpoint.com) là nhà cung cấp giải pháp an ninh mạng hàng đầu cho các chính phủ và doanh nghiệp công ty trên toàn cầu. Các giải pháp của nó bảo vệ khách hàng khỏi các cuộc tấn công mạng với tỷ lệ bắt phần mềm độc hại, ransomware và các loại tấn công khác hàng đầu trong ngành. Check Point cung cấp một kiến ​​trúc bảo mật đa cấp bảo vệ thông tin lưu trữ trên đám mây, mạng và thiết bị di động của doanh nghiệp, cộng với hệ thống quản lý an ninh kiểm soát một điểm toàn diện và trực quan nhất. Check Point bảo vệ hơn 100,000 tổ chức thuộc mọi quy mô.

# # #