DJI Spark Source - DigitalTrends
Les drones DJI sont la tendance du 21e siècle. Cependant, comme ils sont fonctionnels et bien construits, certaines vulnérabilités peuvent constituer une menace sérieuse pour votre sécurité. Comme ces drones reposent sur un compte DJI pour être fonctionnels, vous pouvez avoir de graves problèmes si un pirate informatique accède à votre compte. Le pirate peut accéder à votre drone et le voler ou l'écraser dans une zone sensible plus ou pas de vol. Non seulement cela, les informations personnelles peuvent également être consultées via l'exploit et cela peut vous mettre plus en danger. Selon les chercheurs de, la société de cybersécurité Point de contrôle , Les comptes DJI présentent trois vulnérabilités majeures:
- Bogue du cookie sécurisé dans le processus d'identification DJI
- Une faille de cross-site scripting (XSS) dans son forum
- Un problème d'épinglage SSL dans son application mobile
Les pirates peuvent exploiter les faiblesses mentionnées ci-dessus en publiant simplement un lien dans l'un des forums sous forme d'appât à cliquer et dès que l'utilisateur se connecte à son compte DJI, Voila! Ils ont un accès complet au compte. Les pirates peuvent l'utiliser pour suivre les mouvements du drone grâce à une couverture cartographique en direct qui peut également révéler l'emplacement de l'utilisateur. Ils ont même accès aux photos personnelles de l’utilisateur capturées par l’appareil photo.
Exploiter l'infographie
Source - TheHackerNews
De plus, les pirates peuvent également accéder directement à votre drone en le bombardant de multiples demandes de connexion sans fil en successions rapides, dysfonctionnant ainsi le paquet de données et écrasant le drone. Le pirate informatique peut envoyer au drone un paquet de données exceptionnellement volumineux qui dépasserait la capacité de mémoire tampon du drone et le planterait instantanément. De plus, le pirate informatique peut envoyer un faux paquet numérique à partir de son ordinateur portable ou de son PC, ce qui peut se présenter comme un signal envoyé par le contrôleur réel, lui permettant de contrôler votre drone. En utilisant votre drone, les pirates peuvent même commettre des crimes potentiels tels que le faire voler dans des zones sensibles et vous ne le saurez jamais. De même, en prenant le contrôle de votre compte, les pirates peuvent facilement voler votre drone en l'atterrissant à leur porte.
Ces vulnérabilités ont été découvertes grâce à Programme de prime aux bogues de DJI , où les chercheurs sont encouragés à signaler le bogue découvert en échange d'une récompense financière. Bien que les détails exacts de la récompense financière donnée aient été gardés cachés, la prime de bogue serait jusqu'à 30 000 $ pour avoir signalé une seule vulnérabilité. thehackernews.com affirme que la vulnérabilité a été signalée à l'équipe de sécurité en mars 2018 et que le problème a été résolu avec succès six mois plus tard en septembre 2018. DJI a classé la faille de sécurité comme `` risque élevé - vulnérabilité faible '' en raison de l'obligation pour l'utilisateur d'être déjà connecté leur compte DJI. Néanmoins, le dernier correctif de sécurité a abordé la vulnérabilité du système à de telles attaques lorsque les données sont secrètement transmises au pirate.
Mots clés Sécurité
