Phát hiện lỗ hổng trên nền tảng máy bay không người lái hàng đầu trên thị trường

ML| 19/11/2018 11:00
Theo dõi ICTVietnam trên

Một lỗ hổng nghiêm trọng trên nền tảng máy bay không người lái của DJI đã được các nhà nghiên cứu của hãng bảo mật CheckPoint phát hiện.

Các nhà nghiên cứu tại Check Point Software Technologies và DJI, công ty hàng đầu thế giới về máy bay dân dụng và công nghệ chụp ảnh trên không, đã chia sẻ chi tiết về một lỗ hổng tiềm ẩn có thể ảnh hưởng đến cơ sở hạ tầng của DJI nếu bị khai thác.

Trong một báo cáo được gửi đến theo Chương trình Bug Bounty (Trao thưởng cho các nhà nghiên cứu, các hacker mũ trắng có các phát hiện lỗi bảo mật hệ thống và các sản phẩm) của DJI, Check Point Research đã đề cập rõ quá trình mà ở đó kẻ tấn công có thể truy cập vào tài khoản của người dùng thông qua một lỗ hổng được phát hiện trong quá trình nhận dạng người dùng trong khuôn khổ Diễn đàn DJI, diễn đàn trực tuyến do DJI tài trợ về các sản phẩm DJI.

Các nhà nghiên cứu của Check Point đã phát hiện ra rằng các nền tảng của DJI đã sử dụng một mã thông báo (token) để xác định người dùng đã đăng ký qua các khía cạnh khác nhau của trải nghiệm khách hàng, làm cho nó trở thành mục tiêu cho tin tặc tìm cách truy cập các tài khoản.

Những người dùng là khách hàng của DJI đã đồng bộ hóa các thông tin chuyến bay không người lái của họ, bao gồm ảnh, video và nhật ký chuyến bay tới máy chủ đám mây của DJI và người dùng DJI đã sử dụng phần mềm DJI FlightHub, bao gồm camera, âm thanh và bản đồ trực tiếp, có thể dễ bị tấn công. Lỗ hổng này đã được vá và không có bằng chứng cho thấy nó đã từng bị khai thác.

"Chúng tôi hoan nghênh các chuyên gia nghiên cứu của Check Point đã trách nhiệm trong việc tiết lộ một lỗ hổng có khả năng nghiêm trọng", Mario Rebello, Phó chủ tịch và Giám đốc quốc gia, Bắc Mỹ tại DJI cho biết.

"Đây chính xác là lý do mà DJI đã thiết lập Chương trình Bug Bounty ngay từ đầu. Tất cả các công ty công nghệ đều hiểu rằng việc tăng cường an ninh mạng là một quá trình liên tục không bao giờ kết thúc. Bảo vệ tính toàn vẹn thông tin của người dùng là ưu tiên hàng đầu của DJI, và chúng tôi cam kết tiếp tục hợp tác với các nhà nghiên cứu bảo mật có trách nhiệm như Check Point ", Phó Chủ tịch Mario Rebello nhấn mạnh.

Oded Vanunu, người đứng đầu nghiên cứu về lỗ hổng sản phẩm tại Check Point, cho biết: “Với sự phổ biến của các máy bay không người lái DJI, điều quan trọng là các lỗ hổng nguy hiểm tiềm tàng như thế này được giải quyết nhanh chóng và hiệu quả. Sau phát hiện này, điều quan trọng là các tổ chức phải hiểu rằng thông tin nhạy cảm có thể được sử dụng giữa tất cả các nền tảng và nếu thông tin bị lộ lọt trên một nền tảng, có thể dẫn đến sự tổn thất của cơ sở hạ tầng toàn cầu".

Các kỹ sư của DJI đã xem xét báo cáo do Check Point gửi đến và theo Chính sách của Chương trình Bug Bounty, đánh giá đây là nguy cơ cao, xác suất thấp. Theo đó, một tập hợp các điều kiện tiên quyết cần phải được đáp ứng trước khi kẻ tấn công tiềm năng có thể khai thác lỗ hổng. Khách hàng DJI nên luôn sử dụng phiên bản mới nhất của các ứng dụng thí điểm DJI GO hoặc GO 4.

Check Point và DJI khuyến cáo tất cả người dùng lúc nào cũng phải cảnh giác khi trao đổi thông tin số. Người dùng cũng luôn có thói quen an toàn trên mạng khi tương tác với những người khác trực tuyến và đặt câu hỏi về tính hợp pháp của các liên kết đến thông tin nhìn thấy trên các diễn đàn và trang web của người dùng.

Bài liên quan
Nổi bật Tạp chí Thông tin & Truyền thông
  • Thủ tướng Phạm Minh Chính trao quyết định điều động, bổ nhiệm Tổng Giám đốc VTV
    Chiều 2/11, Thủ tướng Chính phủ Phạm Minh Chính đã trao quyết định điều động, bổ nhiệm Thứ trưởng Bộ Thông tin và Truyền thông Nguyễn Thanh Lâm giữ chức Tổng Giám đốc Đài Truyền hình Việt Nam (VTV). Cùng dự lãnh đạo các ban, bộ, ngành Trung ương và VTV.
  • Tạo "hệ sinh thái" KOL trẻ vì cộng đồng
    Sau hành trình của Đội tuyển bóng đá U23 Việt Nam năm 2018, vượt ra ngoài khuôn khổ trận đấu, mỗi cầu thủ sau khi trở về đều trở thành niềm tự hào của quê hương, đồng thời truyền cảm hứng, nối ước mơ cho thế hệ trẻ. Cùng công thức ấy, liệu có thể áp dụng cho lĩnh vực chính trị-xã hội?
  • Chiến lược "4 Mới" - chìa khóa then chốt để khai phóng giá trị kinh doanh của nhà mạng
    Trước làn sóng chuyển đổi số thông minh, chiến lược "4 Mới" không chỉ đại diện cho nỗ lực đổi mới công nghệ mạng, mà còn là động lực quan trọng để không ngừng khai phóng giá trị kinh doanh của mạng.
  • Bưu điện ra quân vận động 150.000 người tham gia BHXH
    Phát huy khí thế của ngày ra quân, các Bưu điện trung tâm trên địa bàn TP. Hồ Chí Minh quyết tâm hoàn thành mục tiêu, phấn đấu đến 31/12/2024 đạt được 15.000 người tham gia bảo hiểm xã hội tự nguyện và 900.000 người tham gia bảo hiểm y tế hộ gia đình.
  • ‏YouTube Shopping Affiliate ra mắt tại Việt Nam
    Ngày 2/11, YouTube chính thức ra mắt chương trình YouTube Shopping Affiliate tại Việt Nam, mở đầu hợp tác cùng Shopee. Chương trình này sẽ góp phần nâng cao trải nghiệm mua sắm và thúc đẩy tăng trưởng kinh tế số tại Việt Nam.
Đừng bỏ lỡ
Phát hiện lỗ hổng trên nền tảng máy bay không người lái hàng đầu trên thị trường
POWERED BY ONECMS - A PRODUCT OF NEKO