繼 Facebook 早前爆出數千萬帳戶的個人資料被盜取後,DJI 也成為駭客的目標。外國網站 Check Point 日前踼爆 DJI 的用戶身份認證存在安全漏洞,讓黑客有機會騎劫個別用戶。所幸是,DJI 方面已修補了有關漏洞。
▲ Check Point 踼爆 DJI 用戶身份認證系統存在安全漏洞。
黑客可通過欺騙 DJI 用戶點擊無人機論壇內發佈的惡意連結來盜取 cookie。
將有關用戶的識別 token 換成自己的 token,藉此騎劫他們的整個帳戶。
盜取 cookie 騎劫帳戶
軟件科技網站 Check Point 早前踼爆,DJI 的用戶身份識別系統存在漏洞。該系統本使用識別 tokens 及 cookies 來讓用戶可在不同平台無縫登錄;然而研究人員發現,黑客可通過欺騙 DJI 用戶點擊無人機論壇內發佈的惡意連結來盜取 cookie,再將有關用戶的識別 token 換成自己的 token,藉此騎劫他們的整個帳戶,包括可登錄 DJI 手機 App、網頁版及 FlightHub。
無人機即時圖傳畫面可被盜取。
同步至 DJI 雲端的飛行紀錄、相片和影片也會被盜取。
飛行紀錄、相片影片可被盜
DJI 帳戶被盜取後,用戶會有什麼損失?Check Point 指出,黑客可取得用戶同步至 DJI 雲端的飛行紀錄、相片和影片﹐以及無人機即時圖傳畫面等。Check Point 的威脅防禦組(threat prevention team)組長 Oded Vanunu 更稱,用戶的個人資料,包括信用卡詳情都可能被盜取。
DJI 已修補漏洞
隨著無人機的工商應用增加,除了數以十萬計的個人用戶,不少商業用戶也曝露在網絡安全的危機之中。幸好,Check Point 已通知 DJI 及時修補了相關漏洞。
今年 9 月,Facebook 有 5,000 萬用戶的個人資料被盜取,同樣也屬於身份識別的 token 漏洞。
【延伸閱讀】黑客竊美軍無人機機密 150 到 200 美元即可網上交易
【延伸閱讀】台資安專家揭 DJI 空拍機 3 大漏洞 籲無人機廠商強化加密認證
【延伸閱讀】無人機網路安全亮紅燈!美國 FTC:多軸飛行器易遭駭客攻擊
資料、圖片來源:Check Point
留言
You must be logged in to post a comment.