Một Lỗ Hổng của DJI Tiết Lộ Hình Ảnh và Dữ Liệu Người Dùng

DJI sản xuất một số chiếc quadcopter phổ biến nhất trên thị trường, nhưng sản phẩm của họ đã liên tục thu hút sự chú ý của chính phủ Hoa Kỳ về những lo ngại về quyền riêng tư và an ninh. Gần đây, Bộ Quốc phòng vào tháng 5 đã cấm mua các drone tiêu dùng được sản xuất bởi một số nhà cung cấp, trong đó có DJI.

Hiện nay, DJI đã vá một lỗ hổng đáng lo ngại trong cơ sở hạ tầng đám mây của mình có thể đã cho phép một kẻ tấn công chiếm quyền kiểm soát tài khoản người dùng và truy cập dữ liệu cá nhân như ảnh và video được chụp trong quá trình bay drone, thông tin tài khoản cá nhân của người dùng và nhật ký bay bao gồm dữ liệu vị trí. Một hacker thậm chí có thể tiếp cận vị trí drone thời gian thực và hình ảnh trực tiếp từ camera trong suốt quá trình bay.

Công ty an ninh Check Point phát hiện ra vấn đề này và báo cáo nó vào tháng 3 thông qua chương trình thưởng lỗi của DJI. Tương tự như vấn đề dẫn đến vụ rò rỉ lớn của Facebook vào mùa thu này, các nhà nghiên cứu phát hiện rằng họ có thể đe dọa các mã thông báo xác thực cho phép người dùng của DJI chuyển động mượt mà giữa các dịch vụ đám mây khác nhau của công ty và duy trì trạng thái đăng nhập. Trong thiết lập này—được biết đến như một hệ thống đăng nhập duy nhất—mã thông báo hoạt động về cơ bản như chìa khóa cho toàn bộ tài khoản của người dùng.

"Đây là một lỗ hổng rất sâu," nói Oded Vanunu, trưởng nhóm nghiên cứu lỗ hổng sản phẩm tại Check Point. "Chúng tôi là người hâm mộ drone và người hâm mộ của DJI, nhưng chúng tôi muốn tạo sự nhận thức về lỗ hổng chiếm quyền kiểm soát tài khoản trong các hệ thống của các nhà cung cấp lớn. Để người dùng có thể truy cập các dịch vụ khác nhau mà không cần phải nhập tên người dùng và mật khẩu liên tục, các công ty sử dụng xác thực một lần để tạo mã thông báo người dùng có hiệu lực trên mọi thứ. Nhưng điều đó có nghĩa là chúng ta đang sống trong một thời đại mà một cuộc tấn công nhắm mục tiêu có thể trở thành một sự xâm phạm toàn diện."

Vanunu nói rằng nhiều biện pháp bảo mật của sản phẩm của DJI rất mạnh mẽ, nhưng hệ sinh thái các dịch vụ và ứng dụng của bên thứ ba của họ—nhằm mở rộng chức năng của drone—để lại khoảng trống cho sự xâm phạm tiềm ẩn.

Các nhà nghiên cứu của Check Point đã phát hiện ra hai lỗi hoạt động cùng nhau để tạo ra lỗ hổng chiếm quyền kiểm soát tài khoản. Trước tiên, một số trang web của DJI triển khai hệ thống đăng nhập duy nhất OAuth một cách có thể cho phép một kẻ tấn công dễ dàng truy vấn thông tin về người dùng và mã thông báo xác thực của họ. Nhưng một kẻ tấn công vẫn cần một cookie đặc biệt để sử dụng nó để chiếm quyền kiểm soát tài khoản đầy đủ. Tiếp theo là lỗi thứ hai, trong nền tảng diễn đàn của DJI, cho phép một kẻ tấn công tạo ra một liên kết DJI độc hại nhưng hợp lệ có thể tự động đánh cắp cookie xác thực của nạn nhân. Và vì diễn đàn của DJI rất phổ biến và hoạt động tích cực, các nhà nghiên cứu nói rằng không khó để phổ biến một trong những liên kết độc hại qua diễn đàn và đánh lừa người dùng nhấp vào.

Bằng cách sử dụng những vấn đề này cùng nhau, một kẻ tấn công có thể xác định nạn nhân và thu thập thông tin về họ, đánh cắp cookie cần thiết để hoàn tất quá trình xác thực, đăng nhập vào tài khoản DJI của họ và sau đó đổi token và giá trị cookie của nạn nhân để kẻ tấn công giả mạo nạn nhân và đột ngột có đầy đủ quyền truy cập vào tài khoản của họ.

DJI cho biết trong một tuyên bố rằng những phát hiện "đúng là đã đặt ra một số câu hỏi về an ninh dữ liệu của DJI." Tuy nhiên, công ty lưu ý rằng nó phân loại lỗ hổng này là "nguy cơ cao—khả năng thấp," vì "người dùng phải đăng nhập vào tài khoản DJI của họ khi nhấp vào một liên kết độc hại được trồng đặc biệt trong Diễn đàn DJI." DJI nói rằng họ không thấy bằng chứng cho thấy lỗ hổng đã bị khai thác.

Mất vài tháng để DJI giải quyết những vấn đề này, và các nhà nghiên cứu cho biết công ty không chỉ đưa ra những sửa đổi đơn giản. Thay vào đó, kiểm thử của Check Point cho thấy DJI đã cơ bản làm mới một số yếu tố về cách hệ thống của họ quản lý niềm tin và xác thực người dùng để sửa lỗi các vấn đề mà các nhà nghiên cứu đã tìm thấy, đồng thời cũng cải thiện bảo mật sâu sắc hơn.

Trước các vấn đề với chính phủ Mỹ và các đơn vị khác, DJI đã nỗ lực củng cố uy tín an ninh thông qua các sáng kiến như chương trình thưởng lỗi lỗ hổng, được khởi động vào tháng 8 năm 2017. Công ty cho biết cho đến nay, chương trình thưởng đã trả hơn 75,000 đô la cho 87 nhà nghiên cứu vì việc phát hiện gần 200 lỗ hổng. Check Point đã gửi phát hiện của mình thông qua diễn đàn này. Tuy nhiên, chương trình thưởng lỗi lỗ hổng DJI gây ra tranh cãi từ đầu, khi một số nhà nghiên cứu cho biết công ty đã cố gắng yêu cầu họ đồng ý giữ bí mật về phát hiện và tương tác của họ với DJI để đổi lấy phần thưởng của họ.

Vanunu nói rằng Check Point có một trải nghiệm tích cực khi làm việc với DJI và không chấp nhận thưởng cho việc phát hiện lỗ hổng chiếm đoạt tài khoản.

Đối với những người đã nghi ngờ về DJI, lỗ hổng có thể tăng thêm lo ngại. Người khác có thể thấy nguy cơ nâng cao của công ty làm cho họ yên tâm hơn. Dù sao, Vanunu nhấn mạnh một bài học lớn từ nghiên cứu, xoay quanh cách các dịch vụ web lớn triển khai và quản lý các kế hoạch đăng nhập duy nhất trên một hệ sinh thái các ứng dụng nội bộ và của bên thứ ba giữ dữ liệu người dùng.

"Trường hợp này đáng báo động, vì drone chứa rất nhiều thông tin riêng tư và điều này có thể bị lấy đi một cách dễ dàng," Vanunu nói. "Các nền tảng lớn cần phải cẩn thận hơn về việc chiếm đoạt tài khoản."

Những điều tuyệt vời khác từ Mytour

• Chìa khóa cho cuộc sống dài hạn ít liên quan đến “gen tốt”
• Bitcoin sẽ đốt cháy hành tinh. Câu hỏi: nhanh như thế nào?
• Apple sẽ tiếp tục làm chậm iPhone. Đây là cách ngăn chặn nó
• Sự hấp dẫn thực sự về tội ác ngày nay có phải là về tội ác thực sự không?
• Một vận động viên marathon già cố gắng chạy nhanh sau tuổi 40
• Đang tìm kiếm thêm? Đăng ký nhận bản tin hàng ngày của chúng tôi và không bao giờ bỏ lỡ những câu chuyện mới nhất và tuyệt vời nhất của chúng tôi