DJI 스파크 소스-DigitalTrends
DJI 드론은 21 세기의 뜨거운 트렌드입니다. 그러나 기능적이고 잘 구축되어 있기 때문에 일부 취약점은 보안에 심각한 위협이 될 수 있습니다. 이러한 드론은 DJI 계정에 의존하여 작동하기 때문에 해커가 계정에 액세스하면 심각한 문제가 발생할 수 있습니다. 해커는 당신의 드론에 접근하여 민감한 비행 금지 구역으로 날아가거나 충돌 할 수 있습니다. 뿐만 아니라 개인 정보도 익스플로잇을 통해 액세스 할 수 있으며, 이는 사용자를 더 위험하게 만들 수 있습니다. 사이버 보안 회사의 연구원에 따르면 체크 포인트 , DJI 계정에는 세 가지 주요 취약점이 있습니다.
- DJI 식별 프로세스의 보안 쿠키 버그
- 포럼의 XSS (교차 사이트 스크립팅) 결함
- 모바일 앱의 SSL 고정 문제
해커는 클릭 미끼로 포럼 중 하나에 링크를 게시하고 사용자가 자신의 DJI 계정 인 Voila!에 로그인하는 즉시 위에서 언급 한 약점을 악용 할 수 있습니다. 계정에 대한 완전한 액세스 권한이 있습니다. 해커는이를 사용하여 사용자의 위치를 노출 할 수있는 실시간지도 범위를 통해 드론의 움직임을 추적 할 수 있습니다. 카메라를 통해 캡처 한 사용자의 개인 사진에도 액세스 할 수 있습니다.
인포 그래픽 악용
출처 – TheHackerNews
또한 해커는 여러 무선 연결 요청을 연속적으로 빠르게 공격하여 드론에 직접 액세스 할 수 있으므로 데이터 패킷이 오작동하고 드론이 충돌합니다. 해커는 드론의 버퍼 용량을 초과하여 즉시 충돌하는 매우 큰 데이터 패킷을 드론에 보낼 수 있습니다. 또한 해커는 랩톱이나 PC에서 가짜 디지털 패킷을 보낼 수 있으며, 이는 실제 컨트롤러에서 보낸 신호로 위장하여 드론을 제어 할 수 있습니다. 무인 항공기를 사용하면 해커가 민감한 지역으로 날아가는 등 잠재적 인 범죄를 저지를 수 있으며 사용자는 결코 알 수 없습니다. 마찬가지로 해커는 계정을 제어함으로써 드론을 문앞에 착륙시켜 쉽게 훔칠 수 있습니다.
이러한 취약점은 다음을 통해 발견되었습니다. DJI의 버그 바운티 프로그램 , 연구원은 재정적 보상을받는 대가로 발견 된 버그를보고하도록 권장됩니다. 제공된 재정적 보상의 정확한 세부 사항은 숨겨져 있지만 버그 바운티 보상은 단일 취약점보고에 대해 최대 3 만 달러라고합니다. thehackernews.com 이 취약점이 2018 년 3 월에 보안 팀에보고되었으며 6 개월 후 2018 년 9 월에 문제가 성공적으로 해결되었다고 주장합니다. DJI는 사용자가 이미 로그인되어 있어야하기 때문에 보안 결함을 '고위험-낮은 취약성'으로 분류했습니다. 그들의 DJI 계정. 그럼에도 불구하고 최신 보안 패치는 데이터가 비밀리에 해커에게 전달되는 이러한 공격에 대한 시스템의 취약성을 해결했습니다.
태그 보안
