DJI wederom in verlegenheid gebracht door datalek

Dronefabrikant DJI heeft in september een datalek gedicht dat ervoor kon zorgen dat hackers toegang konden krijgen tot de camerabeelden en vlieghistorie van een gebruiker. Het lek werd in maart al ontdekt door onderzoekers van cybersecuritybedrijf Check Point. In sommige gevallen was het zelfs mogelijk om de controle over drones over te nemen en live mee te kijken met de camera.

Inlogprocedure omzeilen

Het veiligheidslek kwam voort uit de manier waarop gebruikers inloggen op de forums van DJI. De onderzoekers waren in staat om middels een stukje geïnjecteerde code de zogenaamde access tokens van een gebruiker te onderscheppen. Daardoor was het mogelijk om de gebruikelijke inlogprocedure te omzeilen. De gebruiker in kwestie moest wel eerst op een speciale link klikken, maar die kon in een onschuldig ogend forumbericht worden geplaatst.

Eenmaal ingelogd op de account van een gebruiker konden de onderzoekers alle beschikbare data inzien, zoals flight logs, opgeslagen camerabeelden en de laatste vier cijfers van aan de account verbonden creditcard. Als de gebruiker in kwestie gebruik maakte van het zakelijke platform FlightHub, dan konden de onderzoekers zelfs live camerabeelden bekijken en op afstand missies uploaden naar de aan FlightHub verbonden drones.

Een schematische weergave van het datalek. Bron: Check Point

‘Niet misbruikt’

Nadat de veiligheidsonderzoekers het lek meldden bij DJI deed het bedrijf er enkele maanden over om het lek te dichten. Dat duurde zo lang omdat de manier waarop gebruikers inloggen diep verweven is in meerdere systemen en apps van DJI. Voor zover bekend is het lek niet actief misbruikt.

Een woordvoerder van DJI zegt blij te zijn met de manier waarop Check Point is omgegaan met het datalek. “Ze zijn prudent omgegaan met wat in potentie een kritieke kwetsbaarheid was. Dit is precies de reden waarom we een bug bounty-programma hebben opgezet.”

De securityonderzoekers konden onder andere flight logs en foto’s bekijken. Bron: Check Point

Niet voor het eerst

Het is niet voor het eerst dat DJI in verlegenheid wordt gebracht door een beveiligingsprobleem. Vorig jaar meldde een onafhankelijke cybersecurityexpert dat gebruikersdata van DJI systemen lange tijd in te zien was via servers van Amazon. Dat leidde onder andere tot de beslissing van het Amerikaanse ministerie van Defensie om voorlopig geen DJI producten meer te gebruiken.

Om het vertrouwen van klanten terug te winnen heeft DJI verschillende maatregelen aangekondigd, zoals de introductie van Local Data Mode, die ervoor moet zorgen dat er tijdens of na een vlucht geen gegevens worden verzonden naar de servers van DJI. Ook werkt DJI aan een functie genaamd Private Cloud Access, die zakelijke gebruikers in staat stelt om de data uit hun drones op eigen servers op te slaan in plaats van die van DJI.

Wiebe de Jager

Wiebe de Jager

Wiebe de Jager (@wdejager) is oprichter van Dronewatch en auteur van de boeken Dronefotografie en Dronevideo's maken. Wiebe is gecertificeerd (RPA-L) dronepiloot en beschikt over het ROC-light. In het najaar van 2018 was Wiebe als coach&jurylid verbonden aan het tv-programma 'Drone Masters'.

Eén gedachte over “DJI wederom in verlegenheid gebracht door datalek

  • 16 november 2018 om 19:29
    Permalink

    Alles wat je op Internet doet, inclusief alles wat je in de Cloud zet of aan de Cloud koppelt, is een potentieel risico. Niet voor niets wordt er zo nadrukkelijk gewaarschuwd voor ‘The internet of Things’, omdat veel apparatuur relatief eenvoudig te hacken is. Alles wat massaproductie is of wat zéér interessant is om te hacken, wordt een keer gehackt. Ook het protocol van je Drone is een keer de klos. Dat kan vandaag zijn of volgende maand…

    Beantwoorden

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Meld je nu aan voor onze nieuwsbrief!

Vul hieronder je gegevens in en blijf op de hoogte.