| 9 ноя 2018 г. — 1:37 пп PT
Исследователи Check Point и DJI поделились информацией об уязвимости, которая могла позволить третьим лицам получить доступ к данным пользователей DJI и изображениям с дронов через Форум DJI. В случае использования уязвимости, третьи лица могли бы получить доступ к учетной записи пользователя, включая такую информацию, как фотографии, видеоматериалы, маршруты полетов, GPS-данные и другую информацию, при этом пользователь даже не подозревал бы, что его аккаунт был взломан. DJI впервые уведомили об этом в марте 2018 года. С тех пор проблема была исправлена.
Серьезная уязвимость в безопасности DJI
Исследователи Check Point уведомили DJI об уязвимости в процессе идентификации DJI на Форуме DJI еще в марте 2018 года через Программу Bug Bounty DJI. По словам исследователей, крупнейший в мире производитель дронов ответственно отнесся к этой проблеме.
«Злоумышленник имел бы полный не ограниченный доступ для входа и просмотра камеры дрона во время прямых трансляций любых текущих полетов, или для скачивания записей ранее записанных полетов, которые были загружены на платформу FlightHub», — заявили исследователи Check Point.
По словам исследователей Check Point, в случае использования уязвимости злоумышленник мог бы получить доступ к:
- Журналам полетов, фотографиям и видео, созданным во время полетов дронов, если пользователь DJI синхронизировал их с облачными серверами DJI. (Журналы полетов указывают точное местоположение дрона во время всего полета, а также превью фотографий и видео, снятых во время полета.)
- Виду камеры в реальном времени и карте во время полетов дронов, если пользователь DJI использовал программное обеспечение DJI FlightHub для управления полетами.
- Информации, связанной с учетной записью пользователя DJI, включая информацию профиля пользователя.
DJI классифицировали уязвимость как высокорисковую, но маловероятную, и с тех пор устранили проблему.
«Мы высоко ценим экспертизу, продемонстрированную исследователями Check Point при ответственном раскрытии потенциально критической уязвимости», — заявил Марио Ребелло, вице-президент и региональный менеджер DJI по Северной Америке. «Именно поэтому DJI изначально запустила нашу Программу Bug Bounty. Все технологические компании понимают, что укрепление кибербезопасности — это непрерывный процесс, который никогда не заканчивается. Защита целостности информации наших пользователей является приоритетом для DJI, и мы стремимся к постоянному сотрудничеству с ответственными исследователями безопасности, такими как Check Point».
Уязвимость была сообщена через Программу Bug Bounty DJI, которая поощряет исследователей безопасности находить и сообщать о проблемах с продуктами DJI, предлагая вознаграждения до 30 000 долларов США, в зависимости от степени серьезности. На сегодняшний день DJI выплатила почти 75 000 долларов США 87 исследователям, которые сообщили примерно о 200 уязвимостях.
Клиентам DJI следует всегда использовать последнюю версию приложений DJI GO или GO 4.
Подробный отчет об уязвимости читайте здесь. Официальный ответ DJI читайте здесь.
ОСТАВАЙТЕСЬ НА СВЯЗИ!
Если вы хотите быть в курсе всех последних новостей, слухов, утечек и обзоров дронов, подписывайтесь на нас в Twitter, Facebook, YouTube, Instagram или подпишитесь на нашу email-рассылку DroneRise, которая выходит каждое утро буднего дня в 6 утра.
Покупайте свой следующий дрон напрямую у производителей, таких как DJI, Parrot, Yuneec, или у розничных продавцов, таких как Amazon, B&H, BestBuy или eBay. Используя наши ссылки, мы получим небольшую комиссию, но это не будет стоить вам ничего дополнительно. Спасибо, что помогаете DroneDJ расти!