大疆程式曝漏洞可致無人機拍攝視訊洩露

據Check Point本週指出，DJI的身分認證程式含有安全漏洞，能夠讓攻擊者挾持使用者帳號，並訪問到使用者存在DJI網站、移動程式，以及無人機操作管理平臺FlightHub的所有信息。

鑑於DJI在商用及消費無人機市場佔有率高達7成，越來越多的行業開始利用無人機來提供服務或執行偵測功能，無疑為使用者帳號和內容帶來風險。

今年3月研究人員發現DJI的身分認證程式含有安全漏洞，它使用一個cookie來辨識使用者並建立令牌，而攻擊者也可利用此cookie來挾持使用者的帳號；只要在DJI論壇上釋出一篇含有惡意連結的文章，登入DJI論壇並點選該連結的使用者都會曝露自己的賬戶憑證。

安全人員指出，DJI的3個雲端平臺均採用同樣的使用者身分認證架構，因此，同一個身分令牌就能周遊在這3個平臺上。

Check Point認為，無人機的安全危機並不只在於裝備會遭到挾持，還在於同步到雲端資料會遭竊取。例如電信業者已經利用無人機替戰場、災難地區或是其它難以到達的區域提供暫時性的網路服務；航空業者或大型電場也都會通過無人機來檢查基礎設施或是危險地帶的狀況；物流業者更是計劃用無人機來送貨。

假設無人機的使用者帳號被入侵了，攻擊者就能訪問使用者的個人資訊、無人機路徑、無人機所拍攝的照片及視訊、無人機的即時視野，或者是飛行員的位置等。一旦有攻擊者取得了物流業者的無人機路徑，就有機會攔截無人機所運送的貨物，而其它行業用無人機則可能洩露所拍攝的涉密資料。

所幸的是，目前Check Point已通知DJI修補相關漏洞了。

本文來源：中關村線上 責任編輯：陳功_NT3893