Источник DJI Spark - DigitalTrends
Дроны DJI - модный тренд 21 века. Однако, как бы они ни были функциональны и хорошо сконструированы, некоторые уязвимости в них могут представлять серьезную угрозу вашей безопасности. Поскольку для работы этих дронов требуется учетная запись DJI, вы можете столкнуться с серьезными проблемами, если хакер получит доступ к вашей учетной записи. Хакер может получить доступ к вашему дрону и полететь или врезаться в чувствительную зону, которая больше или запрещена для полетов. Кроме того, с помощью эксплойта можно получить доступ к личной информации, что может подвергнуть вас еще большей опасности. По словам исследователей из компании по кибербезопасности Контрольно-пропускной пункт , Учетные записи DJI имеют три основных уязвимости:
- Ошибка Secure Cookie в процессе идентификации DJI
- Ошибка межсайтового скриптинга (XSS) на форуме
- Проблема с SSL-закреплением в мобильном приложении
Хакеры могут использовать вышеупомянутые недостатки, просто разместив ссылку на одном из форумов в качестве приманки для клика, и как только пользователь войдет в свою учетную запись DJI, Voila! У них есть полный доступ к аккаунту. Хакеры могут использовать его для отслеживания перемещений дрона с помощью карты в реальном времени, которая также может раскрыть местоположение пользователя. Они даже получают доступ к личным фотографиям пользователей, снятым с помощью камеры.
Использовать инфографику
Источник - TheHackerNews
Кроме того, хакеры также могут получить доступ к вашему дрону напрямую, бомбардируя его несколькими запросами на беспроводное соединение в быстрой последовательности, тем самым нарушая работу пакета данных и разбивая дрон. Хакер может отправить дрону исключительно большой пакет данных, который превысит буферную емкость дрона и мгновенно сломает его. Кроме того, хакер может отправить поддельный цифровой пакет со своего ноутбука или ПК, который может выступать в качестве сигнала, отправленного с реального контроллера, позволяя им управлять вашим дроном. Используя ваш дрон, хакеры могут даже совершить потенциальные преступления, такие как полет на нем в уязвимые места, о которых вы никогда не узнаете. Точно так же, взяв под контроль вашу учетную запись, хакеры могут легко украсть ваш дрон, приземлившись на своем пороге.
Эти уязвимости были обнаружены через Программа поощрения ошибок DJI , где исследователям предлагается сообщать об обнаруженной ошибке в обмен на финансовое вознаграждение. Хотя точные данные о присужденном финансовом вознаграждении скрывались, считается, что вознаграждение за обнаружение ошибки составляет до 30 000 долларов за сообщение об одной уязвимости. thehackernews.com утверждает, что об уязвимости было сообщено группе безопасности в марте 2018 года, а проблема была успешно решена шесть месяцев спустя, в сентябре 2018 года. DJI классифицировал недостаток безопасности как «высокий риск - низкая уязвимость» из-за требования, чтобы пользователь уже был в системе свой аккаунт DJI. Тем не менее последний патч безопасности обратил внимание на уязвимость системы к таким атакам, при которых данные тайно передаются хакеру.
Теги Безопасность
![[Решено] Ошибка isPostback_RC_Pendingupdates в Центре обновления Windows](https://jf-balio.pt/img/how-tos/00/ispostback_rc_pendingupdates-error-windows-update.png)
