Разработчики: | DJI |
Дата последнего релиза: | 2018/11/09 |
Технологии: | Офисные приложения |
Содержание |
DJI FlightHub — универсальная платформа для управления дронами.
2018
Уязвимость в процессе идентификации пользователя на онлайн-форуме DJI Forum
9 ноября 2018 года представители компаний Check Point Software Technologies и DJI поделились информацией о найденной уязвимости, которую потенциально могли использовать для воздействия на инфраструктуру DJI.
В своем отчете команда Check Point Research описала процесс, в котором злоумышленник мог потенциально получить доступ к учетной записи пользователя через уязвимость, обнаруженную в процессе идентификации пользователя на онлайн-форуме DJI Forum, поддерживаемом компанией. Исследователи Check Point продемонстрировали, как злоумышленники могут получить полный доступ к учетной записи пользователя с помощью платформ DJI и украсть такие данные, как:
- Журналы полетов, фотографии и видео с дронов, если пользователь DJI синхронизировал их с облачными серверами DJI.
- Снимки с камеры и запись траектории полета в режиме реального времени, если использовалось программное обеспечение для управления полетом FlightHub DJI.
- Информация, связанная с учетной записью пользователя DJI (например, данные профиля, сведения о кредитной карте и т.д.)
Как сообщили в Check Point Software Technologies, уязвимость была доступна через онлайн-форум для пользователей DJI Forum. Исследование показало, что серверный интерфейс DJI идентифицирует каждого пользователя с тем же идентификационным маркером на всех платформах. Тогда было довольно просто выполнить XSS-атаку, которая перехватывает идентификационный токен и использует его для входа в систему как клиент. В отличие от большинства случаев похищения аккаунтов, когда злоумышленники полагаются на методы социальной инженерии, в этом случае достаточно было собрать идентификационный токен пользователя с помощью обычной ссылки, размещенной на форуме DJI, чтобы взломать аккаунт жертвы на всех платформах. Когда пользователь переходил по вредоносной ссылке, его учетные данные могли быть похищены для доступа к другим ресурсам:
- Веб-платформе DJI (учетная запись, магазин, форум);
- Данным облачного сервера, которые синхронизируются с приложениями DJI Go или DJI GO 4;
- Системе управления дронами DJI FlightHub.
Check Point уведомила DJI об этой уязвимости, после чего компания исправила уязвимость. DJI классифицировала эту уязвимость как высокий риск, однако уведомила, что нет причин подозревать, что эта уязвимость когда-либо эксплуатировалась кем-либо, кроме исследователей Check Point.
«Мы приветствуем экспертизу специалистов Check Point, которую они продемонстрировали в раскрытии потенциально критической уязвимости. Когда мы создавали программу Bug Bounty, мы ориентировались, в первую очередь, на такие ситуации. Все технологические компании понимают, что усиление кибербезопасности — это непрерывный процесс, который никогда не заканчивается. Защита целостности информации наших пользователей — приоритет для DJI, и мы стремимся к продолжению сотрудничества с ответственными исследователями информационной безопасности». Марио Ребелло, вице-президент DJI |
«Учитывая популярность беспилотников DJI, важно, чтобы потенциально критические уязвимости, подобные этой, решались быстро и эффективно. После такого открытия компании должны осознать, что конфиденциальная информация может использоваться между всеми платформами и, если случится утечка с одной из них, это может привести к компрометации глобальной инфраструктуры». Одед Вануну, глава подразделения Check Point Software Technologies по исследованиям и поиску уязвимостей |
Возможности FlightHub
На ноябрь 2018 года платформа FlightHub DJI обеспечивает следующие возможности:
- Управление заданиями в реальном времени
- Просмотр карты: данные обо всех полетах собраны на одной карте для быстрой оценки заданий.
- Предпросмотр в реальном времени: прямая трансляция видео с камер дронов (до четырех дронов) координирует действия пилотов с действиями команд в офисах.
- Управление полетной телеметрией
- Запись полетов: подробные записи полетов для проверки соблюдения законов, просмотра полетной статистики, надзора за использованием оборудования и просмотра заданий.
- Защищенное облачное хранилище: FlightHub сохраняет записи о ваших полетах на защищенный AWS-сервер в США, соответствующий требованиям SOC2.
- Управление флотом и пилотами
- Управление флотом: контроль использования оборудования поможет принимать взвешенные решения о закупках и ремонте.
- Управление командой: возможность группировать команды по проектам, регионам, клиентам или другим категориям для повышения эффективности работы.
- Интеграция с флотом дронов DJI: DJI FlightHub работает с дронами серии Matrice 200, Inspire 2, Phantom 4 и Mavic Pro через приложение DJI Pilot для Android.
Данные с дронов поступают в облачное хранилище FlightHub через защищенное HTTPS-соединение через приложение DJI Pilot на ваше мобильное устройство.
Подрядчики-лидеры по количеству проектов
Softline (Софтлайн) (176)
МойОфис (ООО Новые облачные технологии) (79)
Синтеллект (Syntellect) (76)
Р7-Офис (ранее Новые Коммуникационные Технологии, НКТ) (51)
Wone IT (ранее SoftwareONE Россия, СофтвэрУАН и Awara IT Russia, Авара Ай Ти Солюшенс) (36)
Другие (905)
Синтеллект (Syntellect) (52)
Р7-Офис (ранее Новые Коммуникационные Технологии, НКТ) (14)
Almi Partner, Алми партнер (ГК Алми) (9)
Softline (Софтлайн) (9)
CommuniGate Systems (СталкерСофт) (5)
Другие (82)
Датапакс (11)
Р7-Офис (ранее Новые Коммуникационные Технологии, НКТ) (9)
CommuniGate Systems (СталкерСофт) (5)
МойОфис (ООО Новые облачные технологии) (4)
Qsoft (Кьюсофт) (4)
Другие (54)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Microsoft (61, 476)
МойОфис (ООО Новые облачные технологии) (12, 89)
Синтеллект (Syntellect) (2, 77)
Р7-Офис (ранее Новые Коммуникационные Технологии, НКТ) (2, 62)
СБК (Система безопасных коммуникаций) (2, 41)
Другие (619, 476)
Синтеллект (Syntellect) (2, 52)
Р7-Офис (ранее Новые Коммуникационные Технологии, НКТ) (1, 18)
Microsoft (6, 15)
СБК (Система безопасных коммуникаций) (1, 11)
The Document Foundation (2, 10)
Другие (32, 48)
СБК (Система безопасных коммуникаций) (1, 9)
Р7-Офис (ранее Новые Коммуникационные Технологии, НКТ) (1, 9)
МойОфис (ООО Новые облачные технологии) (2, 5)
Qsoft (Кьюсофт) (1, 4)
Тест АйТи (Test IT) (1, 3)
Другие (17, 19)
Корус Консалтинг (1, 8)
МойОфис (ООО Новые облачные технологии) (1, 8)
Яндекс (Yandex) (1, 7)
Cloud4Y (ООО Флекс) (1, 7)
Qsoft (Кьюсофт) (1, 7)
Другие (21, 40)
СКБ Контур (1, 4)
РуПост (3, 3)
VK Tech (ранее VK Цифровые технологии, ВК Цифровые технологии и Mail.ru Цифровые технологии) (2, 3)
Корус Консалтинг (1, 3)
Unlimited Production (Анлимитед Продакшен, eXpress) (1, 3)
Другие (15, 17)
Распределение систем по количеству проектов, не включая партнерские решения
Microsoft 365 (ранее Office 365) - 127
Microsoft Exchange Server - 110
Новые облачные технологии: МойОфис - 73
Skype for Business (ранее Microsoft Lync) - 67
Р7-Офис - 62
Другие 773
Syntellect Tessa Мобильное согласование - 30
Syntellect Tessa Графический визуализатор процессов - 28
Р7-Офис - 18
CommuniGate Pro - 11
AlterOffice - 9
Другие 58
Р7-Офис - 9
CommuniGate Pro - 9
Новые облачные технологии: МойОфис - 5
Qsoft Teamly Система управления знаниями - 4
Test IT TMS (Test Management System) - 3
Другие 20