大疆網站及應用存在安全漏洞,攻擊者可獲取無人機實時視頻畫面

TechCrunch
TechCrunch中文版

知名消費級無人機廠商大疆科技足足花了大約六個月時間,才修複了其網站和應用上的安全漏洞——如果這個安全漏洞被人利用,那麼攻擊者就可以不受限制地訪問無人機用戶的帳號。

安全公司 Check Point 的研究人員周四透露,這個安全漏洞可以讓攻擊者不受限制地訪問大疆科技用戶存儲於雲端的數據,包括無人機日志、地圖、靜態或視頻片段等,而且還能在用戶並不知情的情況下,透過大疆科技的無人機管理系統 FlightHub 來獲取實時拍攝的視頻片段。

從理論上講,利用這個漏洞實施攻擊非常簡單:受害者祗要點擊了攻擊者精心制作的惡意鏈接,即會落入陷阱。但在實踐中,Check Point 花費了大量時間來尋找發動潛在攻擊的確切方法,但沒有一個方法能輕鬆攻破大疆科技的計算機系統。

出於這個原因,大疆科技稱它為“高風險”、“低概率”安全漏洞,因為攻擊者若想利用這個漏洞,首先要克服許多障礙。“鑒於大疆科技無人機的受歡迎程度,重要的是,像這樣的潛在致命漏洞能得到快速且有效地解決,”Check Point 產品漏洞研究負責人奧蒂德·瓦努努(Oded Vanunu)說。

首先,受害者必須點擊大疆科技網絡論壇上的惡意鏈接——用戶和業餘愛好者通常在論壇上談論他們的無人機和相關活動。透過竊取用戶帳號的訪問令牌,攻擊者可以訪問用戶的主帳號。受害者一旦點擊了惡意鏈接,攻擊者就會利用論壇上的跨站點腳本(XSS)漏洞,基本上獲取了用戶帳號 cookie 並在大疆科技帳號登錄頁面上使用。

Check Point 研究人員還在大疆科技的應用及其基於 web 設計的 FlightHub 網站上發現了多個安全漏洞。

透過利用這個安全漏洞,攻擊者可以接管受害者帳號並訪問所有同步記錄的飛行路線、無人機照片等資訊。(題圖來源:Check Point)

Check Point 於 3 月份與大疆科技進行了接觸,當時大疆科技已經修複了其網站上的 XSS 漏洞。“自此,我們仔細篩查那些登錄程式存在安全隱患的硬件和軟體中的一切元素,對每一件產品進行細緻檢查,確保這不再是一個容易複制的黑客攻擊事件,”大疆科技發言人亞當·利斯伯格(Adam Lisberg)說。

不過,大疆科技直到今年 9 月才完成對其應用和 FlightHub 系統上的漏洞修複。好消息是,任何人都不可能憑一己之力發現和利用其中任何一個漏洞,但 Check Point 和大疆科技都承認很難知道確切答案。“一方面,沒有人能證明我們受到了不利影響,另一方面,我們也沒有看到任何證據證明此漏洞曾被人利用,”利斯伯格說。

大疆科技將這個漏洞的修複看作是該公司漏洞獎勵計畫的一次勝利—— 它在一年多前提出了這一計畫 。實際上,大疆科技漏洞獎勵計畫開局並不顺利。在該計畫實施幾個月後,一名安全研究人員稱發現了大疆科技 AWS 服務的敏感訪問密鑰,希望該公司按承諾提供 3 萬美元的獎勵,但在披露了大疆科技威脅他的大量電子郵件後, 此人最終沒有拿到獎金 ,雙方不歡而散。

但這一次,大疆科技對漏洞發現者不吝溢美之詞。“對於 Check Point 研究人員在負責任地發現潛在致命漏洞過程中所展現出來的專業性,我們表示贊賞,”大疆科技北美區負責人馬里奧·里貝羅(Mario Rebello)說。

我們很高興看到事情發生了變化。

題圖來源:Getty Images

翻譯:皓岳

Security flaw in DJI’s website and apps exposed accounts to hackers and drone live feeds

接下來要閱讀的內容