Sicherheitsforscher von Check Point und DJI, Anbieter von zivilen Drohnen und Luftbildtechnologie, geben Details über eine potenzielle Schwachstelle bekannt, die sich auf die Infrastruktur von DJI hätte auswirken können.
In einem Bericht, der in Übereinstimmung mit dem Bug Bounty-Programm des DJI vorgelegt wird, skizziert Check Point Research einen Prozess, bei dem ein Angreifer möglicherweise Zugang zum Konto eines Benutzers durch eine Schwachstelle erhalten hätte. Die Sicherheitslücke wurde im Rahmen des Benutzer-Identifikationsprozesses innerhalb des DJI Forums gefunden.
Dabei handelt es sich um ein von DJI gesponsertes Online-Forum. Die Sicherheitsforscher von Check Point haben entdeckt, dass die Plattformen von DJI einen Token verwendeten, um registrierte Benutzer über verschiedene Aspekte des Gebrauchs des Forums hinweg zu identifizieren. Diese Maßnahme macht den Identifikationsprozess zu einem bevorzugten Ziel für Hacker, die nach Möglichkeiten suchen, auf die Konten der Nutzer zuzugreifen.
Private Nutzer, die ihre Flugaufzeichnungen, einschließlich Fotos, Videos und Flugprotokolle, mit den Cloud-Servern von DJI synchronisiert, und Unternehmen, die die DJI FlightHub-Software verwendet haben, die eine Live-Kamera, Audio- und Kartenansicht enthält, hätten gehackt und die Informationen kopiert werden können. Diese Schwachstelle wurde inzwischen gepatcht, und es gibt keine Hinweise darauf, dass sie jemals ausgenutzt wurde.
Die DJI-Ingenieure haben den von Check Point vorgelegten Bericht überprüft und ihn in Übereinstimmung mit der Bug Bounty Policy als hohes Risiko mit geringer Erkennungswahrscheinlichkeit eingestuft. Dies ist auf eine Reihe von Voraussetzungen zurückzuführen, die erfüllt sein müssen, bevor ein potenzieller Angreifer sie nutzen kann. DJI-Kunden sollten immer die aktuellste Version der DJI GO oder GO 4 Pilot-Apps verwenden.
Check Point und DJI empfehlen allen Nutzern, beim digitalen Informationsaustausch wachsam zu bleiben. Nutzer sollten stets vorsichtig sein, wenn sie mit anderen Parteien online zusammenarbeiten und Informationen auf Cloud-Plattformen hochladen. Sie sollten die Rechtmäßigkeit von Links in E-Mails und Nachrichten in Frage stellen, die sie in Benutzerforen und Websites erhalten.