DJIスパークソース-DigitalTrends
DJIドローンは21世紀のホットトレンドです。ただし、機能的で適切に構築されているため、いくつかの脆弱性がセキュリティに深刻な脅威をもたらす可能性があります。これらのドローンは機能するためにDJIアカウントに依存しているため、ハッカーがアカウントにアクセスすると、深刻な問題が発生する可能性があります。ハッカーはあなたのドローンにアクセスし、それを飛行または飛行禁止区域に衝突させる可能性があります。それだけでなく、エクスプロイトを介して個人情報にアクセスすることもでき、それはあなたをより危険にさらす可能性があります。の研究者によると、サイバーセキュリティ会社 チェックポイント 、DJIアカウントには3つの主要な脆弱性があります。
- DJI識別プロセスでのセキュアCookieのバグ
- フォーラムのクロスサイトスクリプティング(XSS)の欠陥
- モバイルアプリでのSSLピンニングの問題
ハッカーは、クリックベイトとしてフォーラムの1つにリンクを投稿し、ユーザーが自分のDJIアカウントであるVoilaにログインするとすぐに、上記の弱点を悪用する可能性があります。アカウントに完全にアクセスできます。ハッカーはこれを使用して、ライブマップカバレッジを通じてドローンの動きを追跡し、ユーザーの位置を明らかにすることもできます。彼らは、カメラを通してキャプチャされたユーザーの個人的な写真にもアクセスできます。
インフォグラフィックを悪用する
ソース– TheHackerNews
さらに、ハッカーは、複数のワイヤレス接続要求をすばやく連続して攻撃することで、ドローンに直接アクセスすることもできます。これにより、データパケットが誤動作し、ドローンがクラッシュします。ハッカーは、ドローンのバッファ容量を超える非常に大きなデータパケットをドローンに送信し、即座にクラッシュさせる可能性があります。さらに、ハッカーはラップトップまたはPCから偽のデジタルパケットを送信する可能性があります。これは、実際のコントローラーから送信される信号を装って、ドローンを制御できるようにします。ドローンを使用すると、ハッカーは敏感な場所にドローンを飛ばすなどの潜在的な犯罪を犯す可能性があり、あなたは決してわかりません。同様に、アカウントを制御することで、ハッカーはドローンを自分の玄関先に着陸させることで簡単に盗むことができます。
これらの脆弱性は、 DJIのバグ報奨金プログラム 、研究者は金銭的な報酬と引き換えに発見されたバグを報告することが奨励されています。与えられた金銭的報酬の正確な詳細は隠されていましたが、バグ報奨金の報酬は、単一の脆弱性を報告した場合、最大$ 30,000と言われています。 thehackernews.com 脆弱性は2018年3月にセキュリティチームに報告され、問題は6か月後の2018年9月に正常に解決されたと主張しています。DJIは、ユーザーがすでにログインしている必要があるため、セキュリティの欠陥を「高リスク-低脆弱性」に分類しました。彼らのDJIアカウント。それにもかかわらず、最新のセキュリティパッチは、データがハッカーに密かに中継されるような攻撃に対するシステムの感受性に対処しています。
タグ セキュリティ
