| 8 марта 2023 г. — 1:58 PT
Гигант в области дронов DJI отреагировал на исследование, выявившее значительные уязвимости в системе безопасности прошивки четырех его моделей, заявив, что компания была проинформирована об этих пробелах и устранила их до того, как немецкие исследователи, стоящие за этим открытием, опубликовали свои выводы.
Как сообщал DroneDJ, исследователи из Института безопасности информационных технологий имени Хорста Гёрца при Рурском университете в Бохуме провели эксперименты, которые в конечном итоге позволили им обойти различные меры безопасности в прошивке четырех популярных дронов DJI. Одна из них могла позволить сторонним хакерам определять точное местоположение пилотов, управляющих скомпрометированными БПЛА, в то время как другие привели к изменению ключевых элементов, предназначенных для дистанционной идентификации летательных аппаратов, используемой властями, включая серийные номера.
Читайте также: Немецкое исследование выявило уязвимости безопасности в четырех ведущих дронах DJI
Эти выводы были получены в результате экспериментов команды с дронами DJI – Mini 2, Mavic Air 2, Mavic 2 и Mavic 3 – путем фаззинговых тестов, в ходе которых прошивки аппаратов бомбардировались потоками случайных входных данных, вызывая сбои или изменяя их функционирование. Затем исследователи выявили модификации, включая неточные данные идентификации БПЛА и возможности локализации пилотов, представляющие собой потенциальные уязвимости безопасности.
«Таким образом, злоумышленник может изменять данные журнала или серийный номер и скрывать свою личность», — сказал ведущий исследователь Торстен Хольц о тестах. «Кроме того, хотя DJI и принимает меры предосторожности, чтобы дроны не летали над аэропортами или другими запретными зонами, такими как тюрьмы, эти механизмы также могли быть обойдены».
По-видимому, больше не смогут.
Сегодня DJI отреагировал на значительное освещение исследования в СМИ, заверив пользователей, что компания уже предприняла шаги для устранения потенциальных уязвимостей прошивки. При этом компания отметила, что Хольц и его группа, как и было указано в их отчете, уведомили программу Bug Bounty компании о своих выводах до их публикации, чтобы DJI могла принять меры по их устранению.
Сегодня утром компания заявила, что именно так и поступила, предоставив информацию о разработке прошивки, но не объяснив происхождение уязвимостей.
«Решение Drone ID, разработанное DJI несколько лет назад, соответствовало нормативным требованиям Remote ID во многих юрисдикциях, включая США и Европейский Союз, которые приняли их в качестве обязательных требований как новый отраслевой стандарт», — заявила DJI в своем сегодняшнем твите. «Мы также признаем возросшие ожидания в отношении безопасности данных в последние годы… Безопасность — главный приоритет DJI. Мы будем оценивать международные требования безопасности и законодательства в отношении Remote ID и изучать возможные решения в будущем».