Sal. Haz 18th, 2019

PCHackerlife

info@pchackerlife.com

Hacker’lar DJI Drone Hesabını Nasıl Ele Geçirecek ?

2 min read

Check Point’teki siber güvenlik araştırmacıları bugün, DJI Drone web uygulamasında, saldırganların kullanıcı hesaplarına erişmesine ve uçuş kayıtları, konum, canlı video kamera beslemesi ve bir uçuş sırasında çekilen fotoğraflar dahil olmak üzere hassas bilgilerin senkronize edilmesine izin verebilecek potansiyel bir tehlikeli durumun ayrıntılarını açıkladı. ..

 

Güvenlik firması Check Point’in bu yıl Mart ayında DJI Dorne Web uygulamasındaki güvenlik  açığını keşfetmiş ve sorumlu bir şekilde raporlayıp  Çin merkezli drone imalat şirketine Bildirmiştir.

Hesap elegeçirme saldırısı: DJI Drone altyapısındaki bir Güvenli Çerez hatası, Forumunda bir çapraz site komut dosyası (XSS) hatası ve mobil uygulamasında bir SSL Pinning sorunu da dahil olmak üzere, DJI Drone altyapısındaki toplam üç güvenlik açığından yararlanır. İlk güvenlik açığı, yani “güvenli” ve “httponly” çerez bayrağının etkinleştirilmemesi, saldırganların XSS açıklarını kullanarak DJI Forum web sitesine kötü amaçlı bir JavaScript enjekte ederek bir kullanıcının giriş çerezlerini çalmasına izin verdi.

XSS Saldırısı ile , ele geçirilen  giriş çerezleri, daha sonra kullanıcının DJI Web Hesabı, DJI GO / 4 / pilot Mobil Uygulamalar ve DJI Flighthub adlı merkezi drone operasyon yönetimi platformunda hesap üzerinde tam kontrol ele alınabiliyor .

Ancak, DJI mobil uygulamalarında ele geçirilen hesaba erişmek için, saldırganların ilk olarak, Burp Suite kullanılarak DJI sunucusuna ortadaki adam  (MitM) saldırısını gerçekleştirerek , SSL sabitleme uygulamasını geçtikten sonra Mobil uygulama trafiğini engellemesi gerekir.

 

Güvenlik Uzmanları DJI Drone, güvenlik açığının “yüksek riskli – düşük olasılık” olarak sınıflandırdı. Çünkü kusurun başarılı bir şekilde kullanılması, bir kullanıcının “DJI Forumunda Özel olarak Hazırlanan Kötü Amaçlı bir Bağlantıya Bıklaması ve DJI hesabında oturum açmasını” gerektirdi.

 

 

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir