Logotipo IT Forum
IT Forum Instituto Itaqui Distrito Itaqui IT Invest
IT Forum - A Comunidade de Tecnologia se Encontra Aqui
  • Todas as notícias
  • Negócios
  • Liderança
  • CIO
  • Carreira
  • IA
  • Cibersegurança
  • Plataformas
  • ESG
  • Vídeos
  • Nossas colunas
  • Colunistas
  • Pesquisas
  • Prêmios
Revistas
  • IT Forum Líderes
  • Series
  • Histórias da TI
  • Ver todos
  • Todos os eventos
  • IT Forum Trancoso
  • IT Forum Forte
  • IT Forum Mata
  • Sobre o HIT
  • Todos os materiais
Todas as notícias Negócios Liderança CIO Carreira IA Cibersegurança Plataformas ESG Vídeos
Nossas colunas Colunistas
Pesquisas Prêmios
Revistas
Todos os videocasts E agora, TI? Entre Tech IT Forum Líderes Series
Todos os eventos Trancoso
Todos os materiais Todos os materiais
  1. Home
  2. Notícias
  3. Computerworld Brasil
  4. Falha em drone da DJI dava acesso a imagens e dados de usuários

Falha em drone da DJI dava acesso a imagens e dados de usuários

Bug já foi reparado pela fabricante. Entretanto, falha alerta preocupação sobre drones uma vez que são usados em infraestrutura crítica

Publicado:
21/11/2018 às 10:13
Leitura
5 minutos
Falha em drone da DJI dava acesso a imagens e dados de usuários

Hackers podem ter espionado em tempo real frotas de drones usadas em infraestrutura crítica, incluindo dados de rotas de voo e vídeo em tempo real e feeds de áudio, segundo pesquisa da Check Point e confirmada pela fabricante de drones DJI em um comunicado. A falha de segurança, relatada pela Check Point em março deste ano, já foi corrigida.

Popular entre os entusiastas, os drones DJI também são amplamente utilizados na indústria, fabricação, agricultura e infraestrutura crítica, e entre o pessoal de resposta a emergências, incluindo policiais e bombeiros.

“O pior é que há um aplicativo chamado FlightHub, que é muito sofisticado, basicamente um aplicativo que fornece recursos de gerenciamento entre dois drones ou centenas de drones, alguns executando missões automatizadas”, disse Oded Vanunu, chefe de pesquisa de vulnerabilidade da Check Point. “E isso está sendo usado por muitos policiais, bombeiros, departamentos de polícia, instalações governamentais, para mapear seu ambiente”.

“Os usuários do sistema de gerenciamento de frota DJI FlightHub poderiam ter acesso a informações de voos ao vivo”, escreveu a DJI em um comunicado.

Os dados de drone são sincronizados sem criptografia com a infraestrutura de nuvem da DJI, e o DJI não oferece armazenamento em nuvem com criptografia controlada pelo usuário. A fabricante de drones oferece um modo de dados local que desativa a sincronização em nuvem, disse a DJI.

Falha deu acesso ao aplicativo DJI, loja virtual e dados do servidor em nuvem

Os pesquisadores da Check Point descobriram uma vulnerabilidade no processo de autenticação do usuário que permitiria que um invasor roubasse contas de usuários e obtivesse acesso ao armazenamento na web da DJI, aos dados do servidor em nuvem e ao FlightHub. “A vulnerabilidade foi acessada através do Fórum DJI, um fórum on-line que a DJI realiza para discussões sobre seus produtos”, concluíram os pesquisadores em seu relatório. “Um usuário que fez login no DJI Forum e, em seguida, clicou em um link malicioso especialmente criado, poderia ter suas credenciais de login roubadas para permitir o acesso a outros ativos on-line do DJI.”

Os especialistas foram capazes de sequestrar contas de usuários por causa de um processo de autenticação quebrado entre o fórum de usuários do DJI, forum.dji.com e o servidor de autenticação principal.

A vulnerabilidade reside no processo de identificação do DJI, “Relatórios do Check Point”. O DJI usa um cookie que o invasor pode obter para identificar um usuário e criar tokens ou tickets para acessar suas plataformas. Através do uso deste cookie, um invasor pode simplesmente sequestrar a conta de qualquer usuário e assumir o controle total sobre qualquer conta do DJI Mobile Apps, Conta da Web ou DJI FlightHub”.

Um ataque de engenharia social no fórum do DJI teria sido suficiente para comprometer milhares de drones. O fórum DJI ativo contém centenas de milhares de usuários entusiastas de drones que terão prazer em clicar em links, acreditando que eles sejam seguros.

“Depois que conseguimos executar o código, começamos a revisar a lógica de negócios do fórum”, diz Vanunu. “É uma comunidade de usuários muito grande, centenas de milhares de eventos todos os dias. É um fórum muito ativo e também uma forma de compartilhar vídeos.”

“Hoje sabemos que a engenharia social é o principal vetor de ataque em todos os espaços”, acrescenta. “Então, este é o terreno perfeito para um usuário falso apenas colocar uma URL falsa. ‘Eu tenho novas partes para o DJI Pro disponível para venda, aqui está um link.'”

Hackear o aplicativo móvel DJI deu um pouco mais de trabalho, mas eventualmente isso também caiu. Depois de fazer engenharia reversa do aplicativo móvel para quebrar a certificação de pinos do DJI, os pesquisadores conseguiram o tráfego do meio-termo (MitM) para o servidor DJI usando o Burp Suite.

DJI tenta superar problemas de segurança

DJI tem lutado com problemas de segurança ultimamente. No ano passado, o Departamento de Defesa dos Estados Unidos disse ao Exército para parar de usar drones DJI por causa de preocupações de segurança. “Cesse todo o uso, desinstale todos os aplicativos DJI, remova todas as baterias / mídia de armazenamento dos dispositivos e proteja o equipamento para seguir em direção”, escreveu o tenente-general Joseph H. Anderson, vice-chefe de equipe de planos e operações do Exército em um memorando. O documento diz que isso se deve à “maior conscientização das vulnerabilidades cibernéticas associadas aos produtos DJI”.

“Aplaudimos a experiência que os pesquisadores da Check Point demonstraram através da divulgação responsável de uma vulnerabilidade potencialmente crítica”, disse Mario Rebello, vice-presidente e gerente nacional da DJI, em um comunicado: “Essa é exatamente a razão pela qual a DJI criou nosso programa de recompensas de bugs”.

Seta para cima
Mais lidas
Notícias

TV por assinatura perde clientes no Brasil

9 anos atrás

1
Notícias

Neurocientista usa técnica inusitada para estudar cérebro

8 anos atrás

2
CIO

5 motivos para repensar sua estratégia de governança de dados

9 anos atrás

3
Notícias

Site da Smiles ganha performance com tecnologia Dynatrace

9 anos atrás

4
Notícias

IT Forum Latam: prepare-se para um novo amanhã

8 anos atrás

5
Logo IT Forum
Newsletter
As melhores notícias de tecnologia B2B em primeira mão
Acompanhe todas as novidades diretamente na sua caixa de entrada.
Instagram Linkedin Facebook Tiktok Youtube
1 / 1

Nenhum autor cadastrado para este post.

Notícias relacionadas
Ver mais Seta para direita
Notícias relacionadas
Ver mais Seta para direita
Capital cognitivo híbrido, o próximo capital das organizações
Gestão
Capital cognitivo híbrido, o próximo capital das organizações

Heriton Duarte

4 meses atrás

Dilema da IA está entre escalar produtividade e preservar confiança
Inteligência Artificial
Dilema da IA está entre escalar produtividade e preservar confiança

Déborah Oliveira

4 meses atrás

“O varejo não compete mais por canal, mas por capacidade de movimentar produtos”, diz CIO da Motz
Inteligência Artificial
“O varejo não compete mais por canal, mas por capacidade de movimentar produtos”, diz CIO da Motz

Pamela Sousa

4 meses atrás

Xerox anuncia nova estrutura global para o mercado da Print
Negócios
Xerox anuncia nova estrutura global para o mercado da Print

Redação

4 meses atrás

Conectando a tecnologia e o futuro dos negócios

Insights e inovações para líderes no IT Forum.

Conteúdos

  • Notícias
  • Colunas
  • Pesquisas
  • Series
  • Revistas
  • Videocasts
  • Eventos

Notícias

  • Todas as notícias
  • Negócios
  • Liderança
  • CIO
  • Carreira
  • Inteligência Artificial
  • Cibersegurança
  • Plataformas
  • Sustentabilidade
  • Vídeos

IT Forum

  • Sobre nós
  • Envie seu Release
  • Mídia Kit
  • Contato
  • Expediente
  • Cultura
  • Distrito Itaqui
  • Anuncie
  • Notícias
  • Colunas
  • Pesquisas
  • Series
  • Revistas
  • Videocasts
  • Eventos
  • Todas as notícias
  • Negócios
  • Liderança
  • CIO
  • Carreira
  • Inteligência Artificial
  • Cibersegurança
  • Plataformas
  • Sustentabilidade
  • Vídeos
  • Sobre nós
  • Envie seu Release
  • Mídia Kit
  • Contato
  • Expediente
  • Cultura
  • Distrito Itaqui
  • Anuncie

Logo do IT Forum
Estr. Dr. Yojiro Takaoka, 4601 - Ingahi, Itapevi - SP, 06696-050
Icone Instagram Icone Linkedin Icone Facebook Icone TikTok Icone YouTube
  • Link Política de privacidade
  • Link Fale conosco
  • Link Termos de uso
  • Link Trabalhe conosco
Copyright © 2026 IT FORUM - Todos os Direitos Reservados