آسیب‌پذیری‌های وب و سرقت اطلاعات کاربران پهپادها‌ برای مقاصد جاسوسی

بررسی‌های جدید محققان نشان می‌دهد که هکرها می‌توانند با بهره‌برداری از آسیب‌پذیری‌های موجود در سرویس‌های وب پهپادها، از اطلاعات مهمی مانند سوابق پرواز، موقعیت مکانی، ویدیوها و تصاویر ثبت شده توسط کاربران، برای مقاصد جاسوسی استفاده کنند. آسیب‌پذیری‌هایی که تا شش ماه پیش از طریق حساب‌های کاربری پهپادهای شرکت DJI، این امکان را برای هکرها فراهم می‌ساخت.
۲۱ آبان ۱۳۹۷

محققان امنیتی شرکت چک‌پوینت، به‌تازگی جزئیاتی درباره سه آسیب‌پذیری مهم در بخش کاربری سرویس وب DJI، شرکت سازنده پهپادهای عمود پرواز، منتشر کرده‌اند که نشان می‌دهد مهاجمان می‌توانند با بهره‌برداری از آسیب‌پذیری‌های موجود در سرویس‌های وب پهپادها، از اطلاعات مهمی مانند سوابق پرواز، موقعیت مکانی، ویدیوها و تصاویر ثبت شده کاربران، برای مقاصد جاسوسی استفاده کنند.

براساس خبرهای منتشر شده، شرکت DJI، سه آسیب‌پذیری مهم امنیتی را پس از گزارش شرکت چک‌پوینت در ماه مارس سال جاری، بعد از گذشت شش ماه، اصلاح کرده است. شرکت DJI، سازنده پهپادهای فانتوم «Phantom»، اسپارک «Spark» و ماویک «Mavic»، یکی از شناخته شده‌ترین شرکت‌های سازنده پهپاد در جهان محسوب می‌شود.

به گفته چک‌پوینت، ضعف در ایمن‌سازی کوکی‌ها، حمله تزریق اسکریپت از طریق وبگاه (XSS) و نقض در کلید SSL به کار رفته در برنامه موبایل شرکت DJI، به هکرها اجازه می‌داد تا با سرقت حساب‌های کاربری، به اطلاعات حساس و مهم کاربران پهپاد‌ها دست یابند.

چک‌پوینت در توضیحات این آسیب‌پذیری‌ها گفته است که برای مثال فعال نبودن ویژگی‌های «secure» و «httponly» در کوکی‌ها، به مهاجمان اجازه می‌دهد با تزریق یک جاوا اسکریپت مخرب به انجمن وب‌سایت DJI با استفاده از آسیب‌پذیری XSS، کوکی‌های ورودی کاربران را به سرقت ببرند.

در این سناریو، تنها کاری که مهاجم باید برای اجرای حمله XSS انجام دهد، نوشتن یک پست ساده در انجمن DJI است که می‌تواند حاوی لینک هدایت کننده به payload باشد.

طی سالیان اخیر، استفاده از پهپادهای عمود پرواز یا همان «Drone» برای نقشه‌برداری‌های هوایی، فیلم‌برداری‌های سینمایی و… همانند سایر ابزارهای هوشمند نسل جدید، در میان کاربران افزایش چشم‌گیری یافته است. اما نکته مهم درباره تمام این ابزارها، مساله امنیت است که در صورت وجود ضعف و آسیب‌پذیری، هکرها خواهند توانست به اطلاعات مختلفی دست یابند، به‌ویژه زمانی که اغلب این ابزارها با اینترنت سروکار دارند.

 

 

توضیحات بیشتر در:

- DJI Drone Vulnerability