Camerabeelden DJI-drones waren tijdelijk kwetsbaar voor kwaadwillenden

De infrastructuur van dronebouwer DJI is een tijdlang kwetsbaar geweest, waardoor potentiële aanvallers mogelijk toegang hadden tot camerabeelden en andere gegevens van DJI-gebruikers. Het lek, blootgelegd door Check Point Research, is intussen gedicht.

De kwetsbaarheid werd ontdekt in het identificatieproces van gebruikers van het DJI Forum. Onderzoekers van Check Point, leverancier van ict-beveiligingsdiensten, merkten dat de platforms van DJI een cookie gebruikten om geregistreerde gebruikers te identificeren. Met zo’n cookie zou een onbevoegde een zogeheten ticket of token kunnen genereren, waarmee hij zich eenvoudig toegang kan verschaffen tot de accounts op het forum.

DJI-gebruikers die hun vluchtgegevens, foto’s en video’s hadden gesynchroniseerd met de servers van DJI, waren hierdoor kwetsbaar. Kwaadwillenden konden ook bij de live camerabeelden en kaarten van zakelijke gebruikers van de DJI FlightHub-software. Het lek is inmiddels gepatcht en er zijn volgens Check Point geen bewijzen dat er daadwerkelijk misbruik van is gemaakt.

"We juichen de expertise toe die Check Point-onderzoekers hebben getoond met de openbaarmaking van een mogelijk kritieke kwetsbaarheid", zegt Mario Rebello, vicepresident en country manager van Noord-Amerika bij DJI. Dit is volgens Rebello precies de reden waarom DJI het bugbountyprogramma heeft opgezet, waarbij beveiligingsonderzoekers en hackers worden aangemoedigd om programmeerfouten op te sporen.

Check Point diagram

Door Michel van der Ven

Nieuwsredacteur

Feedback • 09-11-2018 12:30 23

09-11-2018 • 12:30

23

Lees meer

TikTok dicht lekken die uploaden video op account slachtoffer mogelijk maakten
TikTok dicht lekken die uploaden video op account slachtoffer mogelijk maakten Nieuws van 8 januari 2020
Amerikaanse overheid waarschuwt voor veiligheidsrisico's Chinese drones
Amerikaanse overheid waarschuwt voor veiligheidsrisico's Chinese drones Nieuws van 21 mei 2019
DJI brengt afstandsbediening voor drones uit met een ingebouwd scherm
DJI brengt afstandsbediening voor drones uit met een ingebouwd scherm Nieuws van 9 januari 2019
Vliegverkeer London Gatwick Airport ligt stil door overvliegende drones
Vliegverkeer London Gatwick Airport ligt stil door overvliegende drones Nieuws van 20 december 2018
Meer producten en artikelen
Drones DJI Security

Reacties (23)

-Moderatie-faq
23
20
11
3
0
8
Wijzig sortering

Sorteer op:

Weergave:
Martijntj 9 november 2018 12:33
Dat het stelen van het cookie werkte begrijp ik, maar wat ik niet begrijp is hoe de hackers dan aan het cookie zouden moeten komen. Of was het zo dat ze ongelimiteerd brute-force mogelijkheden hadden totdat het juiste cookie boven water komt?
joelharkes @Martijntj9 november 2018 12:39
Zie de link naar de website, het was eigenlijk een XSS attack waarbij de cookie gestolen kon worden, dus niet veel bijzonders, het tweakers artikel is wel erg ambigious inderdaad.

https://research.checkpoint.com/dji-drone-vulnerability/
Verwijderd @Jhonnijhoff9 november 2018 14:23
Nou John,
dat klinkt als een uitdaging.
Zijn er verder nog voorwaarden aan verbonden? En over welke bedragen hebben we het hier?
Jhonnijhoff @Verwijderd17 november 2018 03:23
Mainframe is niet verbonden met het internet ! externe SSD internet op 1 partitie / cloon op de 2de partitie.
Na internet sessie wordt internet partitie geformatteerd / en een cloon terug gezet voor een volgende internet sessie.
Verwijderd @Jhonnijhoff17 november 2018 06:17
Aha, daar zijn de 1e 2 fouten al:
1: je geeft informatie vrij over je beveiliging.
2: je denkt dat de configuratie op de ene partitie veilig is voor de andere partitie.
Jhonnijhoff @Verwijderd17 november 2018 14:21
Kennis is meme, kennisdragers hebben de morele plicht "kennis te delen" Beveiligings-wet 1 (hackademie)
Wat niet vebonden is met "internet" kan niet worden gehacked op internet !
batjes
@Jhonnijhoff9 november 2018 13:49
Newsflash. Wat gebouwd wordt door mensen, kan gesloopt worden door mensen. Alles is te hacken, elke netwerkbeheerder (en software developer) zou dat moeten weten.
ChojinZ
@Jhonnijhoff9 november 2018 14:41
Oei.... dat valse gevoel van veiligheid kan je in de toekomst nog wel duur komen te staan...
Captain Pervert 9 november 2018 12:38
Ik heb een DJI Phantom 2. Die vliegt, filmt naar een geheuegenkaartje, dat bekijk je op de PC en hopla, je hebt je beelden. Ik begrijp dat ze onderhand een soort cloud hebben waar je dingen in kunt doen? Wat is daarvan de toegevoegde waarde, anders dan dat het wéér een plek is waar je je moet registereren, je gegevens achterlaten en wat dus gehackt kan worden?
De doelstelling om gebruikers aan je bedrijf te binden en data te verzamelen lijkt belangrijker dan functionaliteit. Zelfs de meest onbenullige hardware heeft al cloudfuncties, al dan niet met een abonnement bij de aanbieder. Vreselijk vervelend.
dakka @Captain Pervert9 november 2018 13:15
je kunt er overal bij, je hoeft geen geheugenkaartje eruit te halen met het risico dat ie een keer zoek raakt, als dat ding in een vliegtuig motor gezogen wordt, je hoeft het niet over te kopiëren, etc..
JUST_me @dakka9 november 2018 16:43
Als jouw drone in een vliegtuigmotor gezogen wordt, dan is het verlies van je beelden wel het minste van je zorgen..... |:(
la cucaracha @JUST_me9 november 2018 22:41
Het zullen waarschijnlijk wel bijzondere beelden zijn... Seconds from disaster zal er een goed shot bij hebben.
dakka @JUST_me9 november 2018 19:46
het was een hyperbool
Takkie2024 @Captain Pervert9 november 2018 13:27
Bij die cloudfunctie van DJI heb ik wel bedenkingen. Aangezien er in China geen scheiding tussen odnernemingen en staat bestaat, betekent dit dat mijn data direct gevaar lopen.
Verwijderd @Takkie20249 november 2018 14:51
Zou de Chinese overheid geïnteresseerd zijn in dronebeelden? Of worden er ook andere data opgeslagen? En dan, zou het jou uitmaken als een of andere chinees je beelden ziet?
Takkie2024 @Verwijderd9 november 2018 15:57
De Chinese overheid staat er in veiligheidskringen om bekend dat ze alles nemen wat ze kunnen krijgen. Als een locatie relevant von hun om wat voor reden ook wordt -waar jij toevallig voor de fun aan het filmen bent geweest- dan kan dat dus plots relevant worden en is dat een issue (voor mij althans).
himlims_ @Captain Pervert9 november 2018 12:50
dat jij beeld hebt nadat drone in water terecht komt :+
Illegal_Alien @himlims_9 november 2018 13:49
Dat beeld propt hij bij mij ook gelijk op mijn telefoon (op lagere resolutie.) Gaat dan wel over een Mavic Pro.
vj_slof 9 november 2018 12:57
Ik zou graag willen weten waar ik m'n eigen camerabeelden van m'n Mavic Pro online kan bekijken? Ik kan ze nergens vinden? Ook de flightdata kan ik niet online inzien op een computer. Alleen via de DJI Go4 app. Heb wel ooit iets op het forum gepost met een videoclip maar die stond dan weer op Youtube.

Oh nee, laat maar want ik heb nog nooit op dat sync knopje in de app geklikt of iets geüpdatet aan de Mavic Pro zodat de controle van DJI niet in hun handen valt. Ik negeer stelselmatig iedere melding die ook maar iets met updaten te maken heeft bij DJI.
Electrifying @vj_slof9 november 2018 14:59
Flight data op de PC kan je inzien/syncen door je drone fysiek met een kabeltje aan DJI Assistant te hangen. :)

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq