Falha em drones DJI permitia que hackers espionassem usuários

Uma vulnerabilidade em drones da DJI permitia que hackers logassem em contas de usuários sem a necessidade de uma senha, de acordo com pesquisadores da Check Point. Com o acesso em mãos, atacantes têm a capacidade de acompanhar informações sensíveis, como a visualização em tempo real do FlightHub, a localização do drone, os últimos quatro dígitos do cartão de crédito e as fotos capturadas durante voos.

O acesso ainda poderia se escalar: os pesquisadores afirmam que a ferramenta FlightHub ainda permitiria que hackers acessassem outros drones conectados e definir rotas de voo.

A DJI utilizava a mesma autenticação para os fóruns e aplicativos

Os pesquisadores afirmam que a falha reside na proteção de senha do fórum da DJI e na maneira que a empresa autentica essas contas. Foi possível encontrar um código aberto na DJI.com, e ele permitia a inclusão de um JavaScript próprio. A partir desse ponto, foi possível criar um link malicioso que pegava dados e enviava para outro servidor — sendo possível até capturar os tokens.

Esse ataque, no caso, ficou mais perigoso porque a DJI utilizava a mesma autenticação para os fóruns e aplicativos. “Com o ecossistema em que vivemos hoje, os tokens são a linguagem que você está falando quando se conecta a componentes de software”, comentaram os pesquisadores.

Um porta-voz da DJI afirmou que dificilmente a falha foi explorada na vida real e corrigiu o problema após seis meses do alerta feito pela Check Point.

Cupons de desconto TecMundo:

via Novidades do TecMundo

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *