DJI FlightHub

DJI FlightHub — универсальная платформа для управления дронами.

2018

Уязвимость в процессе идентификации пользователя на онлайн-форуме DJI Forum

9 ноября 2018 года представители компаний Check Point Software Technologies и DJI поделились информацией о найденной уязвимости, которую потенциально могли использовать для воздействия на инфраструктуру DJI.

В своем отчете команда Check Point Research описала процесс, в котором злоумышленник мог потенциально получить доступ к учетной записи пользователя через уязвимость, обнаруженную в процессе идентификации пользователя на онлайн-форуме DJI Forum, поддерживаемом компанией. Исследователи Check Point продемонстрировали, как злоумышленники могут получить полный доступ к учетной записи пользователя с помощью платформ DJI и украсть такие данные, как:

• Журналы полетов, фотографии и видео с дронов, если пользователь DJI синхронизировал их с облачными серверами DJI.
• Снимки с камеры и запись траектории полета в режиме реального времени, если использовалось программное обеспечение для управления полетом FlightHub DJI.
• Информация, связанная с учетной записью пользователя DJI (например, данные профиля, сведения о кредитной карте и т.д.)

Как сообщили в Check Point Software Technologies, уязвимость была доступна через онлайн-форум для пользователей DJI Forum. Исследование показало, что серверный интерфейс DJI идентифицирует каждого пользователя с тем же идентификационным маркером на всех платформах. Тогда было довольно просто выполнить XSS-атаку, которая перехватывает идентификационный токен и использует его для входа в систему как клиент. В отличие от большинства случаев похищения аккаунтов, когда злоумышленники полагаются на методы социальной инженерии, в этом случае достаточно было собрать идентификационный токен пользователя с помощью обычной ссылки, размещенной на форуме DJI, чтобы взломать аккаунт жертвы на всех платформах. Когда пользователь переходил по вредоносной ссылке, его учетные данные могли быть похищены для доступа к другим ресурсам:

• Веб-платформе DJI (учетная запись, магазин, форум);
• Данным облачного сервера, которые синхронизируются с приложениями DJI Go или DJI GO 4;
• Системе управления дронами DJI FlightHub.

Check Point уведомила DJI об этой уязвимости, после чего компания исправила уязвимость. DJI классифицировала эту уязвимость как высокий риск, однако уведомила, что нет причин подозревать, что эта уязвимость когда-либо эксплуатировалась кем-либо, кроме исследователей Check Point.

«Мы приветствуем экспертизу специалистов Check Point, которую они продемонстрировали в раскрытии потенциально критической уязвимости. Когда мы создавали программу Bug Bounty, мы ориентировались, в первую очередь, на такие ситуации. Все технологические компании понимают, что усиление кибербезопасности — это непрерывный процесс, который никогда не заканчивается. Защита целостности информации наших пользователей — приоритет для DJI, и мы стремимся к продолжению сотрудничества с ответственными исследователями информационной безопасности». Марио Ребелло, вице-президент DJI

«Учитывая популярность беспилотников DJI, важно, чтобы потенциально критические уязвимости, подобные этой, решались быстро и эффективно. После такого открытия компании должны осознать, что конфиденциальная информация может использоваться между всеми платформами и, если случится утечка с одной из них, это может привести к компрометации глобальной инфраструктуры». Одед Вануну, глава подразделения Check Point Software Technologies по исследованиям и поиску уязвимостей

Возможности FlightHub

На ноябрь 2018 года платформа FlightHub DJI обеспечивает следующие возможности:

• Управление заданиями в реальном времени
  • Просмотр карты: данные обо всех полетах собраны на одной карте для быстрой оценки заданий.
  • Предпросмотр в реальном времени: прямая трансляция видео с камер дронов (до четырех дронов) координирует действия пилотов с действиями команд в офисах.

• Управление полетной телеметрией
  • Запись полетов: подробные записи полетов для проверки соблюдения законов, просмотра полетной статистики, надзора за использованием оборудования и просмотра заданий.
  • Защищенное облачное хранилище: FlightHub сохраняет записи о ваших полетах на защищенный AWS-сервер в США, соответствующий требованиям SOC2.

• Управление флотом и пилотами
  • Управление флотом: контроль использования оборудования поможет принимать взвешенные решения о закупках и ремонте.

• Управление командой: возможность группировать команды по проектам, регионам, клиентам или другим категориям для повышения эффективности работы.
• Интеграция с флотом дронов DJI: DJI FlightHub работает с дронами серии Matrice 200, Inspire 2, Phantom 4 и Mavic Pro через приложение DJI Pilot для Android.

Данные с дронов поступают в облачное хранилище FlightHub через защищенное HTTPS-соединение через приложение DJI Pilot на ваше мобильное устройство.