Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Camerabeelden DJI-drones waren tijdelijk kwetsbaar voor kwaadwillenden

De infrastructuur van dronebouwer DJI is een tijdlang kwetsbaar geweest, waardoor potentiŽle aanvallers mogelijk toegang hadden tot camerabeelden en andere gegevens van DJI-gebruikers. Het lek, blootgelegd door Check Point Research, is intussen gedicht.

De kwetsbaarheid werd ontdekt in het identificatieproces van gebruikers van het DJI Forum. Onderzoekers van Check Point, leverancier van ict-beveiligingsdiensten, merkten dat de platforms van DJI een cookie gebruikten om geregistreerde gebruikers te identificeren. Met zo’n cookie zou een onbevoegde een zogeheten ticket of token kunnen genereren, waarmee hij zich eenvoudig toegang kan verschaffen tot de accounts op het forum.

DJI-gebruikers die hun vluchtgegevens, foto’s en video’s hadden gesynchroniseerd met de servers van DJI, waren hierdoor kwetsbaar. Kwaadwillenden konden ook bij de live camerabeelden en kaarten van zakelijke gebruikers van de DJI FlightHub-software. Het lek is inmiddels gepatcht en er zijn volgens Check Point geen bewijzen dat er daadwerkelijk misbruik van is gemaakt.

"We juichen de expertise toe die Check Point-onderzoekers hebben getoond met de openbaarmaking van een mogelijk kritieke kwetsbaarheid", zegt Mario Rebello, vicepresident en country manager van Noord-Amerika bij DJI. Dit is volgens Rebello precies de reden waarom DJI het bugbountyprogramma heeft opgezet, waarbij beveiligingsonderzoekers en hackers worden aangemoedigd om programmeerfouten op te sporen.

Door Michel van der Ven

Nieuwsredacteur

09-11-2018 • 12:30

20 Linkedin Google+

Reacties (20)

Wijzig sortering
Dat het stelen van het cookie werkte begrijp ik, maar wat ik niet begrijp is hoe de hackers dan aan het cookie zouden moeten komen. Of was het zo dat ze ongelimiteerd brute-force mogelijkheden hadden totdat het juiste cookie boven water komt?
Zie de link naar de website, het was eigenlijk een XSS attack waarbij de cookie gestolen kon worden, dus niet veel bijzonders, het tweakers artikel is wel erg ambigious inderdaad.

https://research.checkpoint.com/dji-drone-vulnerability/
Nou John,
dat klinkt als een uitdaging.
Zijn er verder nog voorwaarden aan verbonden? En over welke bedragen hebben we het hier?
Newsflash. Wat gebouwd wordt door mensen, kan gesloopt worden door mensen. Alles is te hacken, elke netwerkbeheerder (en software developer) zou dat moeten weten.
Oei.... dat valse gevoel van veiligheid kan je in de toekomst nog wel duur komen te staan...
Ik heb een DJI Phantom 2. Die vliegt, filmt naar een geheuegenkaartje, dat bekijk je op de PC en hopla, je hebt je beelden. Ik begrijp dat ze onderhand een soort cloud hebben waar je dingen in kunt doen? Wat is daarvan de toegevoegde waarde, anders dan dat het wťťr een plek is waar je je moet registereren, je gegevens achterlaten en wat dus gehackt kan worden?
De doelstelling om gebruikers aan je bedrijf te binden en data te verzamelen lijkt belangrijker dan functionaliteit. Zelfs de meest onbenullige hardware heeft al cloudfuncties, al dan niet met een abonnement bij de aanbieder. Vreselijk vervelend.
je kunt er overal bij, je hoeft geen geheugenkaartje eruit te halen met het risico dat ie een keer zoek raakt, als dat ding in een vliegtuig motor gezogen wordt, je hoeft het niet over te kopiŽren, etc..
Als jouw drone in een vliegtuigmotor gezogen wordt, dan is het verlies van je beelden wel het minste van je zorgen..... |:(
Het zullen waarschijnlijk wel bijzondere beelden zijn... Seconds from disaster zal er een goed shot bij hebben.
het was een hyperbool
Bij die cloudfunctie van DJI heb ik wel bedenkingen. Aangezien er in China geen scheiding tussen odnernemingen en staat bestaat, betekent dit dat mijn data direct gevaar lopen.
Zou de Chinese overheid geÔnteresseerd zijn in dronebeelden? Of worden er ook andere data opgeslagen? En dan, zou het jou uitmaken als een of andere chinees je beelden ziet?
De Chinese overheid staat er in veiligheidskringen om bekend dat ze alles nemen wat ze kunnen krijgen. Als een locatie relevant von hun om wat voor reden ook wordt -waar jij toevallig voor de fun aan het filmen bent geweest- dan kan dat dus plots relevant worden en is dat een issue (voor mij althans).
dat jij beeld hebt nadat drone in water terecht komt :+
Dat beeld propt hij bij mij ook gelijk op mijn telefoon (op lagere resolutie.) Gaat dan wel over een Mavic Pro.
Ik zou graag willen weten waar ik m'n eigen camerabeelden van m'n Mavic Pro online kan bekijken? Ik kan ze nergens vinden? Ook de flightdata kan ik niet online inzien op een computer. Alleen via de DJI Go4 app. Heb wel ooit iets op het forum gepost met een videoclip maar die stond dan weer op Youtube.

Oh nee, laat maar want ik heb nog nooit op dat sync knopje in de app geklikt of iets geŁpdatet aan de Mavic Pro zodat de controle van DJI niet in hun handen valt. Ik negeer stelselmatig iedere melding die ook maar iets met updaten te maken heeft bij DJI.
Flight data op de PC kan je inzien/syncen door je drone fysiek met een kabeltje aan DJI Assistant te hangen. :)


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True