大疆无人机曝数据泄露漏洞

全球广受欢迎的无人机制造商大疆被曝用户账户中通过供应商数字基础设施传递的信息会被未授权访问；被非法访问的数据包括飞行日志、设备拍摄的视频和图像、实时摄像机和麦克风提要以及飞行地图在内。

这可能是因为大疆的多个平台的用户登入程序都存在漏洞，包括web网站的账户、在线论坛、移动app Go和Go 4，以及允许企业用户管理无人机实时操作的大疆FlightHub等，都存在这方面的问题。

对cookie的攻击

安全研究人员Dikla Barda和Check Point的Roman Zaikin发现，大疆的平台的身份识别和访问控制都是使用相同的cookie。所以，窃取一次cookie就允许允许攻击者彻底劫持用户的多平台帐户，完全伪装成合法账户所有者。

经过进一步的研究，两个人找到了一种方法，通过对最薄弱环节——大疆论坛——的跨站脚本(XSS)攻击来获取对用户和无人机数据的访问权限。

研究人员在今天发表的一篇研究论文中写道：“要触发这种XSS攻击，攻击者所需要做的就是在大疆论坛上写一篇简单的帖子，其中有xss的payload的链接。”

只要让受害者点击链接，他们的登录cookie就会被窃取，而这只需创建一个合适的诱饵即可达成。

“此外，由于有数十万用户在大疆的论坛上交流，攻击者甚至不需要大规模共享恶意链接，因为很多用户自己将会转发消息和链接，”研究人员补充说。

今年3月，安全专家私下向大疆报告了安全漏洞，使得公司能在公布技术细节之前通过系统架构解决这个问题。

在对这些漏洞进行评估后，这家无人机制造商得出结论，这些漏洞带来了很高的风险，尽管其发生概率很低。

大疆北美地区副总裁兼国家经理马里奥•里贝罗(Mario Rebello)表示:“我们赞赏Check Point的研究人员很负责任地披露这些潜在的关键漏洞。”

Check point为此次攻击制作了一个演示视频，展示了攻击者可能能未授权访问的信息类型。

通过将大疆云上的飞行记录与手机同步，攻击者可以在本地浏览飞行日志，查看拍摄视频和照片的地图。

FlightHub的网页平台程序旨在处理至少5架无人机的机队，它提供自动飞行日志同步、机队管理选项以及在订阅计划允许的情况下的实时视频订阅。

为了保持领先于攻击者的地位，大疆今年推出了一个漏洞奖励计划，为安全爱好者和研究人员提供了通过寻找漏洞和利用漏洞来赚钱的可能性。

原文链接：https://www.bleepingcomputer.com/news/security/dji-drone-flight-logs-photos-and-videos-exposed-to-unauthorized-access/