Phát hiện lỗ hổng trên nền tảng máy bay không người lái hàng đầu trên thị trường

Các nhà nghiên cứu tại Check Point Software Technologies và DJI, công ty hàng đầu thế giới về máy bay dân dụng và công nghệ chụp ảnh trên không, đã chia sẻ chi tiết về một lỗ hổng tiềm ẩn có thể ảnh hưởng đến cơ sở hạ tầng của DJI nếu bị khai thác.

Trong một báo cáo được gửi đến theo Chương trình Bug Bounty (Trao thưởng cho các nhà nghiên cứu, các hacker mũ trắng có các phát hiện lỗi bảo mật hệ thống và các sản phẩm) của DJI, Check Point Research đã đề cập rõ quá trình mà ở đó kẻ tấn công có thể truy cập vào tài khoản của người dùng thông qua một lỗ hổng được phát hiện trong quá trình nhận dạng người dùng trong khuôn khổ Diễn đàn DJI, diễn đàn trực tuyến do DJI tài trợ về các sản phẩm DJI.

Các nhà nghiên cứu của Check Point đã phát hiện ra rằng các nền tảng của DJI đã sử dụng một mã thông báo (token) để xác định người dùng đã đăng ký qua các khía cạnh khác nhau của trải nghiệm khách hàng, làm cho nó trở thành mục tiêu cho tin tặc tìm cách truy cập các tài khoản.

Những người dùng là khách hàng của DJI đã đồng bộ hóa các thông tin chuyến bay không người lái của họ, bao gồm ảnh, video và nhật ký chuyến bay tới máy chủ đám mây của DJI và người dùng DJI đã sử dụng phần mềm DJI FlightHub, bao gồm camera, âm thanh và bản đồ trực tiếp, có thể dễ bị tấn công. Lỗ hổng này đã được vá và không có bằng chứng cho thấy nó đã từng bị khai thác.

"Chúng tôi hoan nghênh các chuyên gia nghiên cứu của Check Point đã trách nhiệm trong việc tiết lộ một lỗ hổng có khả năng nghiêm trọng", Mario Rebello, Phó chủ tịch và Giám đốc quốc gia, Bắc Mỹ tại DJI cho biết.

"Đây chính xác là lý do mà DJI đã thiết lập Chương trình Bug Bounty ngay từ đầu. Tất cả các công ty công nghệ đều hiểu rằng việc tăng cường an ninh mạng là một quá trình liên tục không bao giờ kết thúc. Bảo vệ tính toàn vẹn thông tin của người dùng là ưu tiên hàng đầu của DJI, và chúng tôi cam kết tiếp tục hợp tác với các nhà nghiên cứu bảo mật có trách nhiệm như Check Point ", Phó Chủ tịch Mario Rebello nhấn mạnh.

Oded Vanunu, người đứng đầu nghiên cứu về lỗ hổng sản phẩm tại Check Point, cho biết: “Với sự phổ biến của các máy bay không người lái DJI, điều quan trọng là các lỗ hổng nguy hiểm tiềm tàng như thế này được giải quyết nhanh chóng và hiệu quả. Sau phát hiện này, điều quan trọng là các tổ chức phải hiểu rằng thông tin nhạy cảm có thể được sử dụng giữa tất cả các nền tảng và nếu thông tin bị lộ lọt trên một nền tảng, có thể dẫn đến sự tổn thất của cơ sở hạ tầng toàn cầu".

Các kỹ sư của DJI đã xem xét báo cáo do Check Point gửi đến và theo Chính sách của Chương trình Bug Bounty, đánh giá đây là nguy cơ cao, xác suất thấp. Theo đó, một tập hợp các điều kiện tiên quyết cần phải được đáp ứng trước khi kẻ tấn công tiềm năng có thể khai thác lỗ hổng. Khách hàng DJI nên luôn sử dụng phiên bản mới nhất của các ứng dụng thí điểm DJI GO hoặc GO 4.

Check Point và DJI khuyến cáo tất cả người dùng lúc nào cũng phải cảnh giác khi trao đổi thông tin số. Người dùng cũng luôn có thói quen an toàn trên mạng khi tương tác với những người khác trực tuyến và đặt câu hỏi về tính hợp pháp của các liên kết đến thông tin nhìn thấy trên các diễn đàn và trang web của người dùng.