Chyba u DJI dovolila zobrazení cizích účtů včetně realtime dat

Infrastruktura coloudových služeb společnost DJI ještě nedávno trpěla na několik chyb, jejichž promyšlené zneužití mohlo vést k neoprávněnému přístupu do DJI účtů obětí. Bylo možné se dostat k fotografiím a videosekvencím, osobním údajům lidí a záznamům letů včetně GPS souřadnic. Aby toho nebylo málo, hovoří se dokonce o možnosti dostat se k aktuální poloze a dokonce i real-time záznamu. Není se ale třeba bát, chyba byla dávno opravena. Přišla na ni bezpečnostní firma Check Point už v březnu letošního roku, načež informovala společnost DJI, která provedla potřebné kroky a zranitelnosti byly postupně odstraňovány do září. Nyní byla o chybě informována i veřejnost.

 

 

Jde o podobný typ chyby, se kterou měl nedávno problém i Facebook (ukradení přístupového tokenu). Konkrétně šlo o to, že pomocí speciálního Java Scriptu, na něhož mohly linkovat odkazy útočníka na nedostatečně chráněných diskuzních fórech společnosti DJI, bylo možné ukrást cookies a také důležitý přístupový token k DJI účtu. Ten se využívá jako forma potvrzení autentizace pro trvalé přihlášení k účtu. S kombinací těchto dvou údajů bylo možné se přihlásit a pomocí přehození tokenů se dostat k plnému přístupu k napadenému účtu. Samotné DJI hodnotí chybu jako velmi závažnou, nicméně s malou pravděpodobností provedení úspěšného útoku, neboť vyžaduje několik podmínek, za kterých může být útok vůbec proveden. Podle DJI není známo, že by někdo zneužil této chyby.

 

Společnost DJI je tak stále v nemilosti mnoha vládních organizací, které mají obavy o bezpečnost dat. Bug bounty program, kdy výzkumníci mohou dostat odměnu za nalezené a zdokumentované chyby, už od srpna 2017, kdy byl spuštěn, odměnil 87 výzkumníků za nahlášení téměř 200 chyb dohromady částkou skoro 75 tisíc USD.

 

Zdroj: wired.com, threatpost.com