Tietoturvayhtiö Check Point Software Technologies ja drone- ja ilmakuvaustekniikkaa valmistava kiinalainen DJI kertoivat eilen yksityiskohtia haavoittuvuudesta, joka olisi voinut vaikuttaa DJI:n infrastruktuuriin, jos sitä olisi käytetty. Haavoittuvuus löytyi Bug Bountu -ohjelmassa.
Check Point kuvasi DJI:n Bug Bounty -raportissaan, millä tavoin hyökkääjä olisi voinut päästä käsiksi käyttäjätileihin. Haavoittuvuus oli DJI Forumin tunnistautumisjärjestelmässä. DJI Forum on laitteiden käyttäjille tarkoitettu, DJI:n ylläpitämä keskustelusivusto. Murtoriski liittyi siihen, että DJI:n eri alustat käyttivät asiakkaan tunnistamiseen samaa tunnistetta.
Potentiaalisessa vaarassa olivat DJI:n kuluttaja-asiakkaat, jotka ovat synkronoineet pienoiskopteriensa lentoja koskevat tiedot, mukaan lukien valokuvat, videot ja lentoreitit, DJI:n pilvipalvelimelle. Lisäksi reikä koski yritysasiakkaita, joka käyttävät DJI FlightHub -ohjelmistoa. Haavoittuvuus on paikattu eikä sen hyödyntämisestä ole todisteita.
- Juuri tämän takia perustimme Bug Bounty -ohjelmamme. Kaikki teknologiayhtiöt ymmärtävät, että tietoturvan varmistaminen on päättymätön prosessi. Asiakkaidemme tietojen pitäminen turvassa on DJI:lle avainasia, ja sitoudumme jatkuvaan yhteistyöhön Check Pointin ja muiden vastuullisten tietoturvatutkijoiden kanssa, kommentoi DJI:n Yhdysvaltain maajohtaja Mario Rebello.
DJI:n dronet ovat hyvin suosittuja, joten on tärkeää, että tällaiset mahdollisesti kriittiset haavoittuvuudet korjataan nopeasti ja tehokkaasti. - Yritysten ja organisaatioiden tulee ymmärtää, että niiden arkaluontoisia tietoja voidaan käyttää kaikilta eri alustoilta, ja jos ne ovat alttiina hyökkäyksille yhdellä alustalla, globaali infrastruktuuri saattaa olla vaarassa, sanoi Check Pointin haavoittuvuustutkimustuotteiden johtaja Oded Vanunu.
DJI:n asiantuntijat luokittelivat Check Pointin löydöksen luokkaan korkea riski/matala todennäköisyys, koska hyökkääjän olisi täytettävä tietyt edellytykset ennen kuin haavoittuvuutta voi hyödyntää. DJI tähdentää, että sen asiakkaiden tulisi aina käyttää DJI GO- tai GO 4 -ohjausohjelman uusinta versiota.