محققان امنیتی شرکت چکپوینت، بهتازگی جزئیاتی درباره سه آسیبپذیری مهم در بخش کاربری سرویس وب DJI، شرکت سازنده پهپادهای عمود پرواز، منتشر کردهاند که نشان میدهد مهاجمان میتوانند با بهرهبرداری از آسیبپذیریهای موجود در سرویسهای وب پهپادها، از اطلاعات مهمی مانند سوابق پرواز، موقعیت مکانی، ویدیوها و تصاویر ثبت شده کاربران، برای مقاصد جاسوسی استفاده کنند.
براساس خبرهای منتشر شده، شرکت DJI، سه آسیبپذیری مهم امنیتی را پس از گزارش شرکت چکپوینت در ماه مارس سال جاری، بعد از گذشت شش ماه، اصلاح کرده است. شرکت DJI، سازنده پهپادهای فانتوم «Phantom»، اسپارک «Spark» و ماویک «Mavic»، یکی از شناخته شدهترین شرکتهای سازنده پهپاد در جهان محسوب میشود.
به گفته چکپوینت، ضعف در ایمنسازی کوکیها، حمله تزریق اسکریپت از طریق وبگاه (XSS) و نقض در کلید SSL به کار رفته در برنامه موبایل شرکت DJI، به هکرها اجازه میداد تا با سرقت حسابهای کاربری، به اطلاعات حساس و مهم کاربران پهپادها دست یابند.
چکپوینت در توضیحات این آسیبپذیریها گفته است که برای مثال فعال نبودن ویژگیهای «secure» و «httponly» در کوکیها، به مهاجمان اجازه میدهد با تزریق یک جاوا اسکریپت مخرب به انجمن وبسایت DJI با استفاده از آسیبپذیری XSS، کوکیهای ورودی کاربران را به سرقت ببرند.
در این سناریو، تنها کاری که مهاجم باید برای اجرای حمله XSS انجام دهد، نوشتن یک پست ساده در انجمن DJI است که میتواند حاوی لینک هدایت کننده به payload باشد.
طی سالیان اخیر، استفاده از پهپادهای عمود پرواز یا همان «Drone» برای نقشهبرداریهای هوایی، فیلمبرداریهای سینمایی و… همانند سایر ابزارهای هوشمند نسل جدید، در میان کاربران افزایش چشمگیری یافته است. اما نکته مهم درباره تمام این ابزارها، مساله امنیت است که در صورت وجود ضعف و آسیبپذیری، هکرها خواهند توانست به اطلاعات مختلفی دست یابند، بهویژه زمانی که اغلب این ابزارها با اینترنت سروکار دارند.
توضیحات بیشتر در: