来自网络安全公司Check Point的研究人员Oded Vanun、Dikla Barda和Roman Zaikin公开披露了DJI(大疆)无人机Web应用程序中的一个高危漏洞的完整细节。如果该漏洞被利用,那么它将授予攻击者访问用户DJI帐户和下载敏感数据的权限。
根据Check Point的说法,能够被攻击者访问的敏感数据可能包括飞行日志、拍摄的照片和视频、实时视频摄像头视图和用户个人资料等,具体如下:
如果DJI用户已经与DJI的云服务器同步,那么在无人机飞行期间生成的飞行日志、照片和视频是能够被访问的。(飞行日志包含无人机在整个飞行过程中的确切位置,以及在飞行过程中拍摄的照片和视频的预览。)
如果DJI用户正在使用DJI的FlightHub飞行管理软件,那么无人机飞行期间的实时摄像头视图和地图视图是能够被访问的。
其他与DJI用户帐户相关的信息,包括用户的个人资料。
漏洞的利用从DJI Forum开始,这是由大疆公司运营的一个用于讨论其产品的在线论坛。如果用户登录了DJI Forum,并点击了一个由攻击者植入的恶意链接,那么其登录凭证就可能将会遭到窃取,进而允许攻击者访问该用户的其他大疆在线资产,比如:
DJI的网络平台(账户、商店、论坛)
从DJI GO或DJI GO 4应用程序同步的云服务器数据
DJI的FlightHub(集中式无人机操作管理平台)
在今年3月份,Check Poin向大疆安全团队报告了这一漏洞,而大疆也很快进行了正面回应,并在今年9月份对其进行了修复。另外,大疆将此漏洞分类为“高风险,低概率”,并表示没有证据表明此漏洞曾被Check Point研究人员以外的任何人利用。
简单来讲,该漏洞存在于DJI的身份验证过程中。导致的最终结果是,攻击者可以通过大疆的网站(如DJI Forum)、移动应用程序(DJI GO或DJI GO 4)和FlightHub这三个平台访问到敏感的DJI无人机飞行数据以及用户个人资料。
首先,由于DJI Forum没有启用“secure”和“httponly”cookie flag,因此它允许攻击者通过利用XSS(跨站脚本攻击)漏洞向该论坛网站注入恶意JavaScript代码,以捕获用户的登录cookie。
“为了触发这种XSS攻击,攻击者需要做的就是在DJI Forum上写一个简单的帖子,其中包含有效载荷的链接。”Check Point在其报告中解释说,“登录DJI Forum,然后点击了该恶意链接的用户可能已经失去了自己的登录凭证,允许攻击者访问其他的大疆在线资产。”
一旦捕获成功,通过使用包含身份验证令牌的登录cookie,攻击者可以很容易地劫持任何用户的帐户,并完全控制用户的任何DJI移动应用程序、Web帐户或DJI FlightHub帐户。
但是,想要劫持DJI移动应用程序中的帐户,攻击者必须首先通过使用Burp Suite(用于攻击Web 应用程序的集成平台)对DJI服务器执行中间人(MitM)攻击来绕过其SSL认证,然后才能拦截移动应用程序的流量。
研究人员说:“我们还进行了更深入的研究,通过分析飞行日志文件,我们可以得到更多的信息,比如在无人机飞行过程中拍摄的每一张照片的位置和角度、无人机的标识位置、最后已知的位置等等。”
对于FlightHub平台而言,管理员不会收到任何攻击者访问过其帐户的通知。同时,在当前正在进行的任何无人机飞行的实时操作期间,攻击者将完全不受限制地登录并查看无人机的摄像头视图,或下载之前已上传到FlightHub平台的飞行记录。
还没有评论,来说两句吧...