Vulnerabilità nella piattaforma usata per gestire i droni DJI: già risolta, poteva permettere furti di identità

Un nuovo studio elaborato dagli esperti di Check Point dimostra come gli aspetti legati alla sicurezza informatica non possano più essere “un optional” e debba essere loro riservata l’attenzione che meritano.

I ricercatori Dikla Barda e Roman Zaikin hanno scoperto che DJI, nota azienda che progetta e produci droni di tipo professionale, usa lo stesso cookie di autenticazione su gran parte delle sue piattaforme.
Sottraendo il contenuto del cookie un aggressore può acquisire l’identità altrui e accedere ai contenuti personali degli utenti.

Il cookie altrui può (anzi “poteva” visto che DJI ha provveduto a risolvere la problematica di sicurezza) essere sottratto sferrando un attacco XSS: sarebbe bastato pubblicare sui forum di DJI un link malevolo verso una pagina web preparata “ad arte”.
Come spiegato nell’analisi pubblicata da DJI di fatto era sufficiente che l’utente facesse clic sul link perché l’aggressore entrasse in possesso del cookie altrui.

Senza conoscere username e password di ogni singolo utente, i criminali informatici avrebbero potuto accedere agli archivi dei video realizzati con i droni DJI, controllare le videocamere installate sui dispositivi e sottrarre i dati di volo memorizzati sul cloud.

DJI ha voluto ringraziare pubblicamente Check Point per l’indagine svolta sui suoi prodotti: la falla di sicurezza è stata infatti responsabilmente segnalata all’azienda a marzo scorso e i tecnici di DJI hanno quindi avuto tutto il tempo per risolvere il problema.