Sumber DJI Spark - DigitalTrends
Drone DJI adalah trend panas abad ke-21. Namun, sebagai berfungsi dan dibangun dengan baik, beberapa kelemahan di dalamnya dapat menimbulkan ancaman serius bagi keselamatan anda. Oleh kerana drone ini bergantung pada akaun DJI agar berfungsi, anda boleh menghadapi masalah serius jika penggodam mendapat akses ke akaun anda. Penggodam boleh mengakses drone anda dan terbang atau menabraknya ke zon terbang yang sensitif. Bukan hanya itu, maklumat peribadi juga dapat diakses melalui eksploitasi dan itu dapat membahayakan anda. Menurut penyelidik di, firma keselamatan siber Titik Periksa , Akaun DJI mempunyai tiga kelemahan utama:
- Bug Cookie selamat dalam proses pengenalan DJI
- Kekurangan skrip lintas tapak (XSS) dalam Forumnya
- Masalah Pin Pin SSL dalam aplikasi mudah alihnya
Penggodam dapat memanfaatkan kelemahan yang disebutkan di atas dengan hanya memasukkan pautan di salah satu forum sebagai umpan klik dan sebaik sahaja pengguna log masuk ke akaun DJI-nya, Voila! Mereka mempunyai akses lengkap ke akaun. Penggodam dapat menggunakannya untuk mengesan pergerakan drone melalui liputan peta langsung yang juga dapat mendedahkan lokasi pengguna. Mereka bahkan mendapat akses ke foto peribadi pengguna yang dirakam melalui kamera.
Eksploitasi Infografik
Sumber - Berita TheHacker
Selain itu, penggodam juga boleh mendapatkan akses ke drone anda secara langsung dengan mengebomnya dengan banyak permintaan sambungan tanpa wayar berturut-turut, sehingga tidak berfungsi paket data dan menghancurkan drone tersebut. Penggodam dapat mengirimkan drone paket data yang sangat besar yang akan melebihi kapasiti penyangga drone dan langsung menghancurkannya. Selain itu, penggodam boleh menghantar paket digital palsu dari Komputer riba atau PC mereka, yang mungkin muncul sebagai isyarat yang dihantar dari pengawal sebenar, yang membolehkan mereka mengawal drone anda. Dengan menggunakan drone anda, penggodam bahkan mungkin melakukan kemungkinan jenayah seperti menerbangkannya ke kawasan sensitif dan anda tidak akan tahu. Begitu juga, dengan mengawal akaun anda, penggodam dapat dengan mudah mencuri drone anda dengan mendaratkannya di depan pintu mereka sendiri.
Kerentanan ini ditemui melalui Program bug karunia DJI , di mana para penyelidik digalakkan untuk melaporkan bug yang dijumpai sebagai ganti ganjaran kewangan. Walaupun perincian tepat mengenai ganjaran kewangan yang diberikan tetap disembunyikan, ganjaran bug karunia dikatakan mencecah $ 30,000 untuk melaporkan satu kelemahan. thehackernews.com mendakwa bahawa kerentanan tersebut dilaporkan kepada pasukan keselamatan pada bulan Mac 2018 dan masalah tersebut berjaya diselesaikan enam bulan kemudian pada bulan September 2018. DJI mengklasifikasikan kelemahan keselamatan sebagai 'risiko tinggi - kerentanan rendah' kerana keperluannya pengguna telah log masuk akaun DJI mereka. Walaupun begitu, patch keselamatan terbaru telah menangani kerentanan sistem terhadap serangan tersebut di mana data secara rahsia disampaikan kepada penggodam.
Teg Keselamatan
