DJI wederom in verlegenheid gebracht door datalek

Dronefabrikant DJI heeft in september een datalek gedicht dat ervoor kon zorgen dat hackers toegang konden krijgen tot de camerabeelden en vlieghistorie van een gebruiker. Het lek werd in maart al ontdekt door onderzoekers van cybersecuritybedrijf Check Point. In sommige gevallen was het zelfs mogelijk om de controle over drones over te nemen en live mee te kijken met de camera.

Inlogprocedure omzeilen

Het veiligheidslek kwam voort uit de manier waarop gebruikers inloggen op de forums van DJI. De onderzoekers waren in staat om middels een stukje geïnjecteerde code de zogenaamde access tokens van een gebruiker te onderscheppen. Daardoor was het mogelijk om de gebruikelijke inlogprocedure te omzeilen. De gebruiker in kwestie moest wel eerst op een speciale link klikken, maar die kon in een onschuldig ogend forumbericht worden geplaatst.

Eenmaal ingelogd op de account van een gebruiker konden de onderzoekers alle beschikbare data inzien, zoals flight logs, opgeslagen camerabeelden en de laatste vier cijfers van aan de account verbonden creditcard. Als de gebruiker in kwestie gebruik maakte van het zakelijke platform FlightHub, dan konden de onderzoekers zelfs live camerabeelden bekijken en op afstand missies uploaden naar de aan FlightHub verbonden drones.

Een schematische weergave van het datalek. Bron: Check Point

‘Niet misbruikt’

Nadat de veiligheidsonderzoekers het lek meldden bij DJI deed het bedrijf er enkele maanden over om het lek te dichten. Dat duurde zo lang omdat de manier waarop gebruikers inloggen diep verweven is in meerdere systemen en apps van DJI. Voor zover bekend is het lek niet actief misbruikt.

Een woordvoerder van DJI zegt blij te zijn met de manier waarop Check Point is omgegaan met het datalek. “Ze zijn prudent omgegaan met wat in potentie een kritieke kwetsbaarheid was. Dit is precies de reden waarom we een bug bounty-programma hebben opgezet.”
De securityonderzoekers konden onder andere flight logs en foto’s bekijken. Bron: Check Point

Niet voor het eerst

Het is niet voor het eerst dat DJI in verlegenheid wordt gebracht door een beveiligingsprobleem. Vorig jaar meldde een onafhankelijke cybersecurityexpert dat gebruikersdata van DJI systemen lange tijd in te zien was via servers van Amazon. Dat leidde onder andere tot de beslissing van het Amerikaanse ministerie van Defensie om voorlopig geen DJI producten meer te gebruiken.

Om het vertrouwen van klanten terug te winnen heeft DJI verschillende maatregelen aangekondigd, zoals de introductie van Local Data Mode, die ervoor moet zorgen dat er tijdens of na een vlucht geen gegevens worden verzonden naar de servers van DJI. Ook werkt DJI aan een functie genaamd Private Cloud Access, die zakelijke gebruikers in staat stelt om de data uit hun drones op eigen servers op te slaan in plaats van die van DJI.

Bron: Dronewatch

Hits: 17