黑客如何监视你的DJI无人机帐户

Check Point的网络安全研究人员今天透露了DJI无人机web应用程序中潜在危险漏洞的详细信息，该漏洞可能允许攻击者访问用户帐户，并同步其中的敏感信息，包括飞行记录、位置、实时摄像机源和飞行期间拍摄的照片。

虽然安全公司Check Point在今年3月发现了该漏洞，并向DJI安全团队报告了该漏洞，但这家颇受欢迎的中国无人机制造公司在9月将近六个月后修复了该问题。

账户接管攻击利用了DJI基础设施中总共三个漏洞，包括DJI标识过程中的安全Cookie漏洞、其论坛中的跨站点脚本（XSS）漏洞以及其移动应用程序中的SSL锁定问题。
第一个漏洞，即未启用“安全”和“httponly”cookie标志，允许攻击者通过使用XSS漏洞向DJI论坛网站注入恶意JavaScript，窃取用户的登录cookie。

研究人员在今天发布的一份报告中解释说：“为了触发这种XSS攻击，攻击者只需在DJI论坛上写一篇简单的帖子，其中包含有效负载的链接”。

“登录DJI论坛，然后点击一个特别植入的恶意链接的用户，其登录凭据可能被窃取，以允许访问其他DJI在线资产。”

一旦被捕获，登录cookie（包括身份验证令牌）就可以被重新使用，以完全控制用户的DJI Web帐户、DJI GO/4/pilot移动应用程序及其名为DJI Flighthub的集中无人机操作管理平台上的帐户。
然而，为了访问DJI移动应用程序上的受损帐户，攻击者必须先拦截移动应用程序流量，然后通过使用Burp套件对DJI服务器执行中间人（MitM）攻击，绕过其SSL固定的实现。

研究人员说：“我们还进行了进一步的研究，发现通过解析飞行日志文件，我们可以获得更多信息，比如无人机飞行期间拍摄的每张照片的位置和角度、无人机的家乡位置、最后已知的位置等等”。

DJI将该漏洞归类为“高风险，低概率”，因为成功利用该漏洞需要用户“在点击DJI论坛中特别植入的恶意链接时登录到其DJI帐户”。

DJI还表示，该公司没有发现任何证据表明该漏洞在野外被利用。

Check Point的研究人员通过DJI的漏洞赏金计划报告了该漏洞，但拒绝透露提供给他们的经济奖励。DJI bug赏金计划为单个漏洞提供高达30000美元的奖励。

去年年底，国土安全部（DHS）发布了一份备忘录，指控DJI通过其商用无人机和软件向中国发送有关美国基础设施的敏感信息，此后DJI在美国一直面临审查。

然而，这家无人机制造商否认了这些指控，称美国政府办公室的备忘录基于“明显虚假和误导性的说法”。