Dronemaker DJI heeft een potentieel gevaarlijk lek dichtgetimmerd. Daardoor was het mogelijk om vrijwel alle data, zoals vluchten, foto’s en video’s van het toestel, te bekijken.
Met de toestellen van DJI, een van de grootste producenten van consumenten- en professionele drones, is niets mis. Maar wel met de account die gebruikers aan hun drone koppelen, in combinatie met het gebruikersforum.
Securityonderzoekers Oded Vanun, Dikla Barda en Roman Zaikin van beveiligingsbedrijf Check Point Software ontdekten een kwetsbaarheid in het identificatieproces op het forum van DJI. Daar worden dezelfde inloggegevens gebruikt als voor het droneplatform van DJI waar gebruikers hun beelden in de cloud kunnen bewaren. Wie gebruikers op het forum kan verleiden om op een malafide link te klikken, kan zo de cookies voor die inloggegevens verzamelen.
Als dat lukt dan kan een hacker toegang krijgen tot je DJI-account. Daar zit dan weer, als de gebruiker dit heeft ingeschakeld, data over de vluchtroutes en -logs en foto’s en video’s die het toestel maakte. Bij professionele accounts, die de FlightHub software gebruiken, kunnen daarbij ook kaartweergaven en de live camera tijdens het vliegen worden bekeken.
Moet u zich als gebruiker zorgen maken? Waarschijnlijk niet. Er is vooralsnog geen bewijs dat het probleem effectief werd misbruikt. Check Point lichtte DJI al in maart in van het probleem en de dronemaker loste het probleem de afgelopen maanden in stilte op. Ook Check Point zelf schat de kans op effectief misbruik klein.
Het securitybedrijf heeft een meer technische uitleg, onder meer hoe DJI via het OAuth framework een token gebruikte om gebruikers te identificeren en hoe die gegevens konden onderschept worden, in een blogbericht gegoten.
Fout opgemerkt of meer nieuws? Meld het hier