大疆网站及应用存在安全漏洞，攻击者可获取无人机实时视频画面

知名消费级无人机厂商大疆科技足足花了大约六个月时间，才修复了其网站和应用上的安全漏洞——如果这个安全漏洞被人利用，那么攻击者就可以不受限制地访问无人机用户的帐号。

安全公司 Check Point 的研究人员周四透露，这个安全漏洞可以让攻击者不受限制地访问大疆科技用户存储于云端的数据，包括无人机日志、地图、静态或视频片段等，而且还能在用户并不知情的情况下，通过大疆科技的无人机管理系统 FlightHub 来获取实时拍摄的视频片段。

从理论上讲，利用这个漏洞实施攻击非常简单：受害者只要点击了攻击者精心制作的恶意链接，即会落入陷阱。但在实践中，Check Point 花费了大量时间来寻找发动潜在攻击的确切方法，但没有一个方法能轻松攻破大疆科技的计算机系统。

出于这个原因，大疆科技称它为“高风险”、“低概率”安全漏洞，因为攻击者若想利用这个漏洞，首先要克服许多障碍。“鉴于大疆科技无人机的受欢迎程度，重要的是，像这样的潜在致命漏洞能得到快速且有效地解决，”Check Point 产品漏洞研究负责人奥蒂德·瓦努努（Oded Vanunu）说。

首先，受害者必须点击大疆科技网络论坛上的恶意链接——用户和业余爱好者通常在论坛上谈论他们的无人机和相关活动。通过窃取用户帐号的访问令牌，攻击者可以访问用户的主帐号。受害者一旦点击了恶意链接，攻击者就会利用论坛上的跨站点脚本（XSS）漏洞，基本上获取了用户帐号 cookie 并在大疆科技帐号登录页面上使用。

Check Point 研究人员还在大疆科技的应用及其基于 web 设计的 FlightHub 网站上发现了多个安全漏洞。

通过利用这个安全漏洞，攻击者可以接管受害者帐号并访问所有同步记录的飞行路线、无人机照片等信息。（题图来源：Check Point）

Check Point 于 3 月份与大疆科技进行了接触，当时大疆科技已经修复了其网站上的 XSS 漏洞。“自此，我们仔细筛查那些登录程序存在安全隐患的硬件和软件中的一切元素，对每一件产品进行细致检查，确保这不再是一个容易复制的黑客攻击事件，”大疆科技发言人亚当·利斯伯格（Adam Lisberg）说。

不过，大疆科技直到今年 9 月才完成对其应用和 FlightHub 系统上的漏洞修复。好消息是，任何人都不可能凭一己之力发现和利用其中任何一个漏洞，但 Check Point 和大疆科技都承认很难知道确切答案。“一方面，没有人能证明我们受到了不利影响，另一方面，我们也没有看到任何证据证明此漏洞曾被人利用，”利斯伯格说。

大疆科技将这个漏洞的修复看作是该公司漏洞奖励计划的一次胜利—— 它在一年多前提出了这一计划 。实际上，大疆科技漏洞奖励计划开局并不顺利。在该计划实施几个月后，一名安全研究人员称发现了大疆科技 AWS 服务的敏感访问密钥，希望该公司按承诺提供 3 万美元的奖励，但在披露了大疆科技威胁他的大量电子邮件后， 此人最终没有拿到奖金 ，双方不欢而散。

但这一次，大疆科技对漏洞发现者不吝溢美之词。“对于 Check Point 研究人员在负责任地发现潜在致命漏洞过程中所展现出来的专业性，我们表示赞赏，”大疆科技北美区负责人马里奥·里贝罗（Mario Rebello）说。

我们很高兴看到事情发生了变化。

题图来源：Getty Images

翻译：皓岳

Security flaw in DJI’s website and apps exposed accounts to hackers and drone live feeds