Sikkerhedshul gav adgang til video og lyd i verdens mest populære droner

Ny rapport afslører sårbarhed, hvor hackere kunne få adgang til billeder, video og andre følsomme informationer fra forbrugere og virksomheders brug af droner fra markedslederen DJI

Eksperter fra virksomheden Check Point har lige offentliggjort en alvorlig sårbarhed i droner fra virksomheden DJI, verdens største producent af civile droner og luftfototeknologi til både privat og professionel brug. DJI sidder på ca. 70 % af det globale marked for droner og omsatte for over 16 milliarder kroner i 2017. Sårbarheden gjorde det muligt for uvedkommende at skaffe sig adgang til DJI’s platforme og alle de følsomme oplysninger, som deres droner indsamler fra både forbrugere og virksomheder.

I en rapport som Check Point lavede i overensstemmelse med DJI’s dusørprogram for sårbarheder, beskriver eksperterne, hvordan en hacker potentielt kunne tilgå DJI-brugeres konti gennem en sårbarhed i DJI Forum, som er en online platform for DJI-produkter. Rent teknisk gør DJI brug af en særlig digital godkendelsesnøgle til at registrere deres brugere på tværs af forskellige online platforme, og det var et hul i denne funktion, der gjorde den til et oplagt mål for hackere.

Ved at udnytte sårbarheden på forummet kunne hackere skaffe sig adgang til hele DJI’s IT-infrastruktur og servere, der bl.a. indeholdt en lang række informationer om forbrugere og virksomhedernes brug af dronerne. Disse inkluderede fotos, video, lydoptagelser og kort over flyvehistorik, hvilket i nogle tilfælde kunne blive vist live. Sårbarheden er siden blevet udbedret og der findes ikke nogen beviser for, at den skulle være blevet udnyttet.

“Vi er meget glade for den ekspertise som Check Points hold af efterforskere har udvist i forbindelse med deres ansvarlige videregivelse af data om denne potentielt kritiske sårbarhed,” siger Mario Rebello, Vice President og landechef i Nordamerika hos DJI. “Eksempler som dette er lige præcis årsagen til, at vi skabte vores dusørprogram for opdagelse af sårbarheder. Alle teknologivirksomheder ved, at arbejdet med at forbedre cybersikkerheden, er en løbende proces, der aldrig er færdig. Hos DJI har beskyttelsen af vores brugeres information den højeste prioritet og vi er indstillet på fortsat at samarbejde med ansvarlige sikkerhedseksperter som Check Point.”

“Med populariteten af DJI droner, er det vigtigt, at potentielt kritiske sårbarheder som denne bliver adresseret hurtigt og effektivt, og vi er glade for at DJI gjorde netop dette”, siger Oded Vanunu, produktudviklingschef for Vulnerability Research hos Check Point.  “Med denne opdagelse bør det være tydeligt for alle virksomheder, at følsom information kan blive udnyttet på tværs af platforme og at sårbarheder et sted kan føre til kompromittering af hele virksomhedens globale infrastruktur.”

Ingeniører fra DJI gennemgik rapporten fra Check Point og vurderede om den indeholdt en høj eller lav risiko i overensstemmelse med dusørprogrammet. Denne vurdering afhænger af en række forudsætninger, der skal være opfyldt før en hacker kan udnytte sårbarheden. DJI opfordrer sine kunder til altid benytte sig af den seneste software version i pilot apps som DJI GO eller GO 4.

Check Point og DJI anbefaler alle brugere til at være opmærksomme, når de udveksler information digitalt. Det er vigtigt altid at benytte sig af sikre metoder, når man interagerer med andre online og altid være kritisk overfor links til information, som ligger på forummer og hjemmesider.

En fuld teknisk redegørelse om sårbarheden kan findes på Check Points research blog.

Læs også:

Nu får vi virus gennem billeder Den nye angrebstype har fået navnet ImageGate, og Check Point har afsløret den metode hackerne bruger til at indlejre ondsindet kode, eller malware, i...
Nyt cyberangreb truer nettet Det er ingen hemmelighed at internettet er et farligt sted at være, og nu er der så en ny trussel fra en cyberhær af internetopkoblede enheder, også k...

Del artiklen på

Om Lars Bennetzen (1975 Articles)
Lars Bennetzen har været it- og gadget-journalist siden 1992, og arbejdet som redaktør på PC World, Ingeniøren, Jern- og Maskinindustrien, Procesteknik og Ugens Erhverv. I 2006 blev Lars Chefredaktør på Alt om DATA, og bestyrede det gode gamle it-blad gennem de næste 6 år. I 2012 blev Lars selvstændig og stiftede firmaet Blackbelt Communications og i 2015 startede han Tech-Test. Lars fungerer også som kommunikationskonsulent, taler, moderator og gadgetekspert.
Kommentar til artiklen?