Schwachstelle bei Drohnenplattform DJI entdeckt

Sicherheitsforscher von Check Point® Software Technologies Ltd. haben eine potenzielle Schwachstelle in der Infrastruktur des populären chinesischen Drohnenanbieters DJI entdeckt. Diese hätte es Angreifern ermöglicht, auf die Benutzerkonten mit den gespeicherten Daten (Flugverlauf, Luftbildaufnahmen etc.) zuzugreifen.


Anzeige

Der chinesische Anbieter DJI ist der weltweit führende Anbieter von zivilen Drohnen und Luftbildtechnologie. Neben privaten Nutzern zählen auch viele Firmen und gewerbliche Nutzer zu den Kunden von DJI. Wobei ich den Blog-Beitrag DJI-Drohnen bleiben ohne Update ab 1.9.2017 am Boden in Erinnerung habe, wo der Hersteller einen Patch der Firmware (mutmaßlich auf Druck des US-Militärs und der US-Behörden) nachreichen musste. Jetzt kommt der nächste Hammer: Besitzer von Drohnen können beim Anbieter in einem Benutzerkonto die Daten von Flügen synchronisieren. Genau diese Daten hätten Hacker mittels einer Schwachstelle ausspionieren können.

Schwachstelle in der Infrastruktur

Private Nutzer und Unternehmen, die die DJI FlightHub-Software verwendet haben, die eine Live-Kamera, Audio- und Kartenansicht enthält, können ihre Flugaufzeichnungen, einschließlich Fotos, Videos und Flugprotokolle, mit den Cloud-Servern von DJI synchronisieren.

Das Sicherheitsunternehmen Check Point Research hat im Rahmen einer kürzlich durchgeführten Untersuchung eine Schwachstelle entdeckt, die einem Angreifer Zugriff auf das DJI-Konto eines Benutzers gewähren würde, ohne dass der Benutzer davon Kenntnis hat. Check Point hat die Erkenntnis nun, in Übereinstimmung mit dem Bug Bounty-Programm von DJI, in einem Blog-Beitrag offen gelegt. Diese Sicherheitslücke wurde im Rahmen des Benutzeridentifikationsprozesses innerhalb des DJI Forums gefunden. Dabei handelt es sich um ein von DJI gesponsertes Online-Forum.

Token über Websession zur Identifizierung verwendet

Check Point Research identifizierte einen Prozess, bei dem ein Angreifer möglicherweise Zugang zum Konto eines Benutzers durch eine Schwachstelle erhalten hätte. Die Plattformen von DJI verwendeten einen bestimmten Token, um registrierte Benutzer über verschiedene Bereich beim Besuch des Forums hinweg zu identifizieren. Solche Tokens, die für den Identifikationsprozess verwendet werden, sind ein bevorzugtes Ziel für Hacker, die nach Möglichkeiten suchen, auf die Konten der Nutzer zuzugreifen.

Es liegen keine Details vor – aber es scheint möglicherweise ein Standardfehler zu sein, dass das URL-Token innerhalb des Forums zur Identifikation benutzt wurde.

Alle Daten abgreifbar

Die Schwachstelle fand sich über im DJI Forum, in dem Diskussionen über die Produkte erfolgen können. Ein Benutzer, der sich in das DJI-Forum eingeloggt und dann auf einen speziell gesetzten bösartigen Link geklickt hat, hätte seine Anmeldeinformationen gestohlen bekommen können. Dies ermöglichte dann den Zugriff auf folgende DJI-Online-Objekte:

  • die komplette DJI Webplattform (Konto, Shop, Forum)
  • die Cloud-Server-Daten, die von den DJI GO oder GO 4 Pilot-Apps synchronisiert werden.
  • den DJI FlightHub (zentrale Drohnenbetriebssteuerungsplattform)

Ein erfolgreicher Angriff hätte, laut Check Point und dem Anbieter DJI, der in die Entdeckung einbezogen wurde, den Zugang zu folgenden Daten eröffnet:

  • Flugprotokolle, Fotos und Videos, die während Drohnenflügen erstellt wurden, wenn ein DJI-Benutzer sie mit den Cloud-Servern von DJI synchronisiert hatte. (Flugprotokolle zeigen die genaue Position einer Drohne während des gesamten Fluges sowie eine Vorschau auf Fotos und Videos, die während des Fluges aufgenommen wurden.)
  • Eine Live-Kamera-Ansicht und Kartenansicht während eines Drohnenfluges, wenn ein DJI-Nutzer die FlightHub-Flugverwaltungssoftware von DJI verwendet.
  • Informationen, die mit dem Konto eines DJI-Benutzers verknüpft sind, einschließlich Informationen zum Benutzerprofil.

Das nachfolgende Bild zeigt eine Übersicht der Angriffsmöglichkeiten über den Token-Klau im DJI-Forum.


Werbung

DJI-Vulnerability
(DJI-Schwachstelle, Quelle: Check Point, Zum Vergrößern klicken)

Das nachfolgende Video zeigt die Implikationen bei einem möglichen Angriff auf die DJI-Benutzerkonten.

(Quelle: Check Point/YouTube)

Schwachstelle inzwischen gepatcht

Die Sicherheitsforscher von Check Point haben den Drohnenanbieter DJI im März 2018 über diese Schwachstelle informiert. Die Entwickler DJI haben verantwortungsbewusst reagiert und die Schwachstelle schnell bestätigt. Der Anbieter DJI klassifizierte diese Schwachstelle als hochgradig risikobehaftet, aber mit geringer Wahrscheinlichkeit zur Ausnutzung. Der Hersteller schreibt, dass es keine Beweise dafür gibt, dass diese Schwachstelle jemals von jemand anderem als Check Point Forschern ausgenutzt wurde.

Nachdem DJI von Check Point informiert wurde, ging man an die Beseitigung der Schwachstelle. Nachdem die Schwachstelle inzwischen gepatcht wurde, hat Check Point die Informationen gemeinsam mit DJI veröffentlicht.

Ähnliche Artikel:
DJI-Drohnen bleiben ohne Update ab 1.9.2017 am Boden


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.