资安业者Check Point本周指出,DJI的身分认证程序含有安全漏洞,将允许黑客挟持用户账号,并存取用户存放在DJI网站、行动程序,以及无人机操作管理平台FlightHub的所有数据。
源自中国的DJI(大疆创新)为全球首屈一指的无人机制造商,在商用及消费性无人机市场的占有率高达7成,有鉴于有愈来愈多的产业开始利用无人机来提供服务或执行侦察功能,用户账号及内容的外泄将带来重大风险。
研究人员在今年3月发现DJI的身分认证程序含有安全漏洞,它使用一个cookie来辨识用户并建立令牌,而黑客也可利用此一cookie来挟持用户的账号;只要在DJI论坛上张贴一则含有恶意链接的文章, 让举凡登入DJI论坛并点选该链接的用户都会曝露自己的登入凭证。
攻击手法:(来源:Check Point)
由于DJI的3个云端平台(网站、行动程序及FlightHub)都采用同样的用户身分认证架构,因此,同一个身分令牌就能周游在这3个平台上。
Check Point认为,无人机的安全危机并不只在于装置会遭到挟持,还在于同步到云端的数据会遭到窃取,特别是在愈来愈多产业采用无人机的时代。 例如电信业者已经利用无人机替战场、灾难地区或是其它难以到达的区域提供暂时性的网络服务;航空业者或大型电场也都会透过无人机来检查基础设施或是危险地带的状况;物流业者更是仰赖无人机来送货。
假设无人机的用户账号被入侵了,黑客将能存取用户的个人信息、无人机的路径、无人机所拍摄的照片及影片、无人机的实时视野,或者是飞行员的位置等。 倘若黑客取得了物流业者的无人机路径,就有机会拦截无人机所运送的货物,而其它产业的无人机拍摄内容也可能泄露宝贵或机密信息。
Check Point指出,云端服务的优点在于到处都可存取,这同样也让它的账号更容易受到黑客觊觎,云端服务供货商应该要以双因素身分认证机制来保护用户的账号安全;此外,可存取某个服务的用户身分认证程序不应适用于所有服务, 建议所有的企业都应在IT网络上采用分割政策。
接获通知的DJI已经修补了相关漏洞,并说没有证据显示除了Check Point的研究人员之外,还有其它人曾开采该漏洞。
关键字:黑客
引用地址:
研究人员揭露大疆漏洞,恐让黑客偷走无人机拍摄的机密影
推荐阅读最新更新时间:2024-05-03 18:53
两伙黑客为免费挖矿打起来!
5月12日消息,据外媒报道,Rocke和Pascha两个从事门罗币挖掘业务的黑客组织正在努力控制尽可能多的Linux云环境,以便挖掘加密货币。 去年年底,自新黑客组织Pacha崛起以来,这场争夺战就一直秘密进行。这两个组织都进行了大规模扫描来寻找开放或未打补丁的云服务和服务器,然后用基于Linux的多功能恶意软件感染它们。 Pacha在挑战Rocke方面相当成功。到目前为止,这两家公司中较具侵略性的是规模较小的Pacha组织,它会删除感染的服务器上已知的加密挖掘恶意软件毒株的长串列表。使用这种方法,Pacha黑客慢慢地在加密货币挖掘领域占据了一席之地。 据称,为了占据竞争对手的“市场份额”,Pacha
[手机便携]
黑客攻克自动驾驶汽车的途径、方式以及有何危害?
因为电脑容易受到网络攻击,所以自动驾驶车辆(AVs)也容易受到网络攻击也就不足为奇了。本文讨论了黑客可以用来攻克自动驾驶车辆的方法。当人们把一个相互通信的AV车队想象成一个运行中的计算机网络时,汽车被黑客攻击所带来的危险就更加复杂了。这使得AVs可能更容易受到攻击,而攻击的规模和可能造成的损害规模都有可能扩大。 攻击者将有机会最大限度地发挥其行动的影响。在最近的一次金融系统黑客攻击中,孟加拉国央行在美国纽约联邦储备银行的账户遭黑客攻击, 被窃 8100 万美元。当攻击者获得精确控制权,即使仅是一辆车,最终损害结果也可能是相当严重的。 规模扩大(Scaling out)指的是另一种现象。在攻击中被利用的AV系统中的缺陷有可能
[嵌入式]
让黑客无可奈何 盘点几大公司安全解决方案
法规和标准尚待完善,民众对安全问题关注不够,企业对生产成本严格控制,安全意识相对淡薄,智能家居安全还比较弱,但并不阻碍安全成为炙手可热的话题。安全需求包括合法用户访问、鉴别用户身份的真实性、数据完整性、隐私不泄露、数据传输的安全、控制授权等。目前在产业链上游主要是安全物联模块以及安全的平台接入能力,这些最终将决定下游产品硬件的安全性。无论采用软加密还是硬加密,用户只关心到底是否安全。对于企业来说,安全问题就是品质问题,在产品的研发阶段就应该将物联网产品的安全性纳入产品考核。 艾矽科技 安全加密芯片-GIANT-I GIANT I是艾矽科技推出的全球首款以PUF为核心的加密芯片,集成了VIA PUF技术,也是目前安全级
[安防电子]
调查:41%用户选购新车考虑是否被黑客攻击
根据美国权威汽车价值评估媒体“凯利蓝皮书”(Kelley Blue Book)最新公布的汽车黑客攻击调查报告中指出鉴于近期被广泛讨论的Jeep汽车被黑事件车主已经真正开始关心车辆的网络安全问题。报告结果显示有71%的参与者表示知道上周经《连线》报道的Jeep汽车被黑事件和随后已经召回了140万辆问题汽车和卡车。将近四分之三的参与者相信在未来三年汽车被黑将成为日益频繁的问题。
本次问卷调查自7月24日至27日为止,共计有1134名用户参与调查。其中主要结果有:
● 41%的参与者表示在选购新汽车的时候会考量是否在近期存在被黑客攻击的新闻。
● 33%的参与者将汽车网络攻击划分为“非
[汽车电子]
黑客发现原生漏洞
任天堂Switch在不久前正式发售,伴随着首发大作《塞尔达:荒野之息》的助阵,这台兼具掌机与家用机功能的新主机卖得如火如荼,可以说形势一片大好。 不过繁华底下暗潮涌动,之前就有用户尝试从Switch中导出数据。而现在,国外知名黑客qwertyoruiop宣布,他从在Switch上发现了浏览器WebKit内核存在漏洞。 他所使用的方法很简单,之前用来越狱iOS的jailbreakMe工具他进行了一些调整,并删除了特定的iOS代码。虽然qwertyoruiop除了发布一张截图外没有给出任何证据,但以他的知名度而言确实可信度很高。 虽然Switch的系统中仅包含一个精简版的WebKit,并没有向用户提供一个可用的浏览器。但
[手机便携]
黑客大会展示特斯拉软件攻击技术:将诱发碰撞事故
日前,Defon黑客大会正在拉斯维加斯召开。在这场大会上,由美南卡罗莱纳大学、中国浙江大学以及奇虎360组成的研究团队展示了如何攻击特斯拉Model S Autopilot软件的技术。据了解,他们利用对传感器、车灯、广播的重新配置骗过了Autopilot,即让该软件认定其实并不存在的障碍物或无视某些障碍物。显而易见,这样的网络攻击将会带来非常严重的后果。
据了解,特斯拉的Autopilot总共有3种不同的环境检测方法:雷达、超声波传感器、摄像头。对此,研究人员攻破了以上所有的设备,并且他们发现,只有当他们攻破雷达之后,汽车才可能发生高速碰撞事故。为此,他们使用两套雷达设备展开测试--一台价值9万美元的Keysigh
[汽车电子]
利用生物黑客疗法重新连接人类脑波,精神病患者的福音!
有时候光靠左洛复(一种抗抑郁药)是不足以调动你的大脑,让大脑活跃起来的。有一个科学领域正飞速发展,现在正在努力重新连接人类脑波,最终推出生物黑客疗法。 “我们在精神病学方面的研究遇到了问题,因为我们忽略了自主和神经生理学方面的问题,”精神病学家Hasan Asif说,他也是Field公司的联合创始人之一。“要真正评估一个客户,你需要从上到下,从头到脚地进行检查,从各个角度进行评估,比如神经化学、神经生理学和生物化学。” Field既是一个实验室诊所,又是临床医学家的办公室。它组成了一个由科学家、医生和生活教练组成的团队,来为它那1%的客户提供服务。 他们会研究你的心理历史和情绪健康,同时分析你的生物反馈,比如脑波、皮肤传导、呼
[医疗电子]
360承认使用黑客技术 非法搭便车
9月18日下午,腾讯诉奇虎360不正当竞争一案继续在广东高院开庭审理。腾讯向360索赔1.25亿元。 下午的庭审从3点半开始,到5点半结束,持续了大约2个小时。经过数轮法庭调查与辩论后,审判长宣布休庭,未定未来何时再开庭。 搭便车 360推出扣扣保镖后,点击QQ软件的安全中心,进去的却是360安全卫士的页面。腾讯由此认为360存在非法的搭便车的行为。 腾讯的律师打个了比方:用户想去金杜律师事务所的网站,但点击进去后,却到了君合律师事务所的网站。这不是“搭便车”是什么? 360聘请的代理律师来自金杜律师事务所。 在法庭上,360的律师还承认,360用hook黑客 技术 替换QQ安全中心。理由仅仅是,扣扣保镖和QQ安全
[家用电子]
天才程序员:技术狂人如何改变世界
控制系统计算机辅助设计 — MATLAB语言与应用
京公网安备 11010802033920号