dji程序曝漏洞可致無人機(jī)拍攝視頻泄露

據(jù)check point本周指出，dji的身分認(rèn)證程序含有安全漏洞，能夠讓攻擊者挾持用戶帳號(hào)，并訪問到用戶存在dji網(wǎng)站、移動(dòng)程序，以及無人機(jī)操作管理平臺(tái)flighthub的所有信息。

鑒于dji在商用及消費(fèi)無人機(jī)市場(chǎng)占有率高達(dá)7成，越來越多的行業(yè)開始利用無人機(jī)來提供服務(wù)或執(zhí)行偵測(cè)功能，無疑為用戶帳號(hào)和內(nèi)容帶來風(fēng)險(xiǎn)。

今年3月研究人員發(fā)現(xiàn)dji的身分認(rèn)證程序含有安全漏洞，它使用一個(gè)cookie來辨識(shí)用戶并建立令牌，而攻擊者也可利用此cookie來挾持使用者的帳號(hào)；只要在dji論壇上發(fā)布一篇含有惡意鏈接的文章，登錄dji論壇并點(diǎn)選該鏈接的使用者都會(huì)曝露自己的賬戶憑證。

安全人員指出，dji的3個(gè)云端平臺(tái)均采用同樣的使用者身分認(rèn)證架構(gòu)，因此，同一個(gè)身分令牌就能周游在這3個(gè)平臺(tái)上。

check point認(rèn)為，無人機(jī)的安全危機(jī)并不只在于裝備會(huì)遭到挾持，還在于同步到云端數(shù)據(jù)會(huì)遭竊取。例如電信業(yè)者已經(jīng)利用無人機(jī)替戰(zhàn)場(chǎng)、災(zāi)難地區(qū)或是其它難以到達(dá)的區(qū)域提供暫時(shí)性的網(wǎng)絡(luò)服務(wù)；航空業(yè)者或大型電場(chǎng)也都會(huì)通過無人機(jī)來檢查基礎(chǔ)設(shè)施或是危險(xiǎn)地帶的狀況；物流業(yè)者更是計(jì)劃用無人機(jī)來送貨。

假設(shè)無人機(jī)的用戶帳號(hào)被入侵了，攻擊者就能訪問用戶的個(gè)人信息、無人機(jī)路徑、無人機(jī)所拍攝的照片及視頻、無人機(jī)的即時(shí)視野，或者是飛行員的位置等。一旦有攻擊者取得了物流業(yè)者的無人機(jī)路徑，就有機(jī)會(huì)攔截?zé)o人機(jī)所運(yùn)送的貨物，而其它行業(yè)用無人機(jī)則可能泄露所拍攝的涉密數(shù)據(jù)。

所幸的是，目前check point已通知dji修補(bǔ)相關(guān)漏洞了。

蘋果iphone x（全網(wǎng)通） 無線充電，面容id，后置雙攝，全面屏

[經(jīng)銷商] 京東商城

[產(chǎn)品售價(jià)] 6999元

進(jìn)入購買