Check Point研究人員開發(fā)了一種可用于挾持DJI無人機(jī)用戶賬戶的攻擊

Check Point研究人員開發(fā)了一種可用于挾持DJI（大疆創(chuàng)新）無人機(jī)用戶賬戶的攻擊，賬戶中包含用戶的敏感信息以及對設(shè)備本身的訪問權(quán)。

據(jù)報(bào)道，Check Point研究人員開發(fā)了一種XSS攻擊，該攻擊可發(fā)布在成百上千名DJI客戶使用的DJI論壇上，以攔截識別令牌，并借此以客戶身份進(jìn)行登陸。

該攻擊證明了無人機(jī)云網(wǎng)絡(luò)中存在漏洞且訪問該漏洞不受地點(diǎn)限制，強(qiáng)調(diào)了雙因素身份驗(yàn)證機(jī)制與優(yōu)化身份（認(rèn)證）機(jī)制的必要性，以及在IT網(wǎng)絡(luò)中組織細(xì)分的重要性，以便控制以及限制由潛在攻擊造成的損害。

攻擊者進(jìn)入網(wǎng)頁論壇，竊取cookie ID并完成登陸，之后利用失竊信息或繞過SeNeo Mobile保護(hù)以訪問DJI移動(dòng)端應(yīng)用程序，或訪問DJI Flight Hub上的全部信息。

一旦完成以上操作，攻擊者便可訪問無人機(jī)飛行記錄、飛行時(shí)所拍照片、支付詳情、實(shí)時(shí)訪問無人機(jī)攝像頭、無人機(jī)飛行員攝像機(jī)及其位置。由于DJI客戶識別過程存在漏洞，研究人員可挾持用戶的賬戶并完全控制任一云平臺及其中儲存的數(shù)據(jù)。

無人機(jī)本身也被用于發(fā)起攻擊。

DJI無人機(jī)應(yīng)用于多個(gè)行業(yè)，包括關(guān)鍵基礎(chǔ)設(shè)施、制造業(yè)、農(nóng)業(yè)、建筑業(yè)、應(yīng)急管理部、政府部門、軍隊(duì)及其他部門，這表示攻擊者有機(jī)會借之竊取關(guān)鍵信息。

研究人員指出，無人機(jī)可通過飛行路徑、照片、航拍錄像與地圖的形式提供有價(jià)值的偵察信息。那些針對關(guān)鍵基礎(chǔ)設(shè)施的攻擊者可通過發(fā)電站、水壩及其他設(shè)施竊取復(fù)雜的詳情及圖片信息。

針對快遞與物流公司的攻擊者可獲取路線信息，并獲知所運(yùn)輸?shù)陌鼮楹挝?、在何處以及運(yùn)往何人，以便對包裹進(jìn)行攔截。

2018年3月，DJI發(fā)現(xiàn)了該漏洞，目前該漏洞得以修復(fù)。