繼 Facebook 早前爆出數千萬帳戶的個人資料被盜取後,DJI 也成為駭客的目標。外國網站 Check Point 日前踼爆 DJI 的用戶身份認證存在安全漏洞,讓黑客有機會騎劫個別用戶。所幸是,DJI 方面已修補了有關漏洞。
▲ Check Point 踼爆 DJI 用戶身份認證系統存在安全漏洞。
盜取 cookie 騎劫帳戶
軟件科技網站 Check Point 早前踼爆,DJI 的用戶身份識別系統存在漏洞。該系統本使用識別 tokens 及 cookies 來讓用戶可在不同平台無縫登錄;然而研究人員發現,黑客可通過欺騙 DJI 用戶點擊無人機論壇內發佈的惡意連結來盜取 cookie,再將有關用戶的識別 token 換成自己的 token,藉此騎劫他們的整個帳戶,包括可登錄 DJI 手機 App、網頁版及 FlightHub。
飛行紀錄、相片影片可被盜
DJI 帳戶被盜取後,用戶會有什麼損失?Check Point 指出,黑客可取得用戶同步至 DJI 雲端的飛行紀錄、相片和影片﹐以及無人機即時圖傳畫面等。Check Point 的威脅防禦組(threat prevention team)組長 Oded Vanunu 更稱,用戶的個人資料,包括信用卡詳情都可能被盜取。
DJI 已修補漏洞
隨著無人機的工商應用增加,除了數以十萬計的個人用戶,不少商業用戶也曝露在網絡安全的危機之中。幸好,Check Point 已通知 DJI 及時修補了相關漏洞。
今年 9 月,Facebook 有 5,000 萬用戶的個人資料被盜取,同樣也屬於身份識別的 token 漏洞。
【延伸閱讀】黑客竊美軍無人機機密 150 到 200 美元即可網上交易
【延伸閱讀】台資安專家揭 DJI 空拍機 3 大漏洞 籲無人機廠商強化加密認證
【延伸閱讀】無人機網路安全亮紅燈!美國 FTC:多軸飛行器易遭駭客攻擊
資料、圖片來源:Check Point
Leave A Comment
You must be logged in to post a comment.