Организация Check Point сообщила об небезопасной уязвимости, выявленной в инфраструктуре регулирования беспилотными летательными аппаратами DJI.
Неприятность, как докладывается, сопряжена с отличительными чертами процесса идентификации клиентов на онлайн-форуме DJI Forum. Изучение продемонстрировало, что серверный внешний вид DJI определяет любого клиента с аналогичным идентификационным карандашом на всех платформах. Это открывает маршрут к совершению XSS-атаки: злодеям довольно скопить идентификационный токен клиента при помощи стандартной сноски, размещённой на портале DJI, что бы открыть аккаунт жертвы на всех платформах.
В случае результата мошенники могут получить общий доступ к учётной записи клиента. Это, например, даёт вероятность воровать журналы полётов, и фото и записи с дронов, если клиент синхронизировал их с пасмурными серверами DJI.
Также, в режиме настоящего времени могут быть похищены фотографии с камеры и запись линии движения полёта, если применяется ПО для регулирования полётом FlightHub DJI.
В конце концов, нападающие приобретают вероятность своровать индивидуальную информацию жертвы, к примеру, данные профиля, данные о кредитке и прочие.
Эксперты Check Point осведомили организацию DJI о неприятности, и слабость была ликвидирована. В настоящее время изображенная брешь не понимает опасности для клиентов программы DJI.