Aktuelles, Branche - geschrieben von cp am Donnerstag, November 8, 2018 18:38 - noch keine Kommentare
Sicherheitsforscher finden Schwachstellen bei marktführender Drohnenplattform
Laut Check Point ermöglichten die Sicherheitslücken Angreifern den Zugriff auf die Nutzerkonten des Herstellers
[datensicherheit.de, 08.11.2018] Sicherheitsforscher von Check Point® Software Technologies Ltd. und DJI geben Details über eine potenzielle Schwachstelle bekannt, die sich auf die Infrastruktur von DJI hätte auswirken können.
In einem Bericht, der in Übereinstimmung mit dem Bug Bounty-Programm des DJI vorgelegt wird, skizziert der Blog Check Point Research einen Prozess, bei dem ein Angreifer möglicherweise Zugang zum Konto eines Benutzers durch eine Schwachstelle erhalten hätte. Diese Sicherheitslücke wurde im Rahmen des Benutzeridentifikationsprozesses innerhalb des DJI Forums gefunden. Dabei handelt es sich um ein von DJI gesponsertes Online-Forum. Die Sicherheitsforscher von Check Point haben entdeckt, dass die Plattformen von DJI einen bestimmten Token verwendeten, um registrierte Benutzer über verschiedene Aspekte des Gebrauchs des Forums hinweg zu identifizieren. Diese Maßnahme macht den Identifikationsprozess zu einem bevorzugten Ziel für Hacker, die nach Möglichkeiten suchen, auf die Konten der Nutzer zuzugreifen.
Private Nutzer, die ihre Flugaufzeichnungen, einschließlich Fotos, Videos und Flugprotokolle, mit den Cloud-Servern von DJI synchronisiert, und Unternehmen, die die DJI FlightHub-Software verwendet haben, die eine Live-Kamera, Audio- und Kartenansicht enthält, hätten gehackt und die Informationen kopiert werden können. Diese Schwachstelle wurde inzwischen gepatcht, und es gibt keine Hinweise darauf, dass sie jemals ausgenutzt wurde.
„Wir begrüßen die Expertise, die Check Points Sicherheitsforscher durch die verantwortungsbewusste Offenlegung einer potenziell kritischen Schwachstelle bewiesen haben“, sagt Mario Rebello, Vice President und Country Manager Nordamerika bei DJI. „Das ist genau der Grund, warum DJI das interne Bug Bounty-Programm ins Leben gerufen hat. Alle Technologieunternehmen verstehen, dass die Verbesserung der Cybersicherheit ein kontinuierlicher Prozess ist, der nie endet. Der Schutz der Informationen unserer Benutzer hat für DJI höchste Priorität – und wir verpflichten uns zu einer kontinuierlichen Zusammenarbeit mit verantwortlichen Sicherheitsforschern wie Check Point.“
„Angesichts der Popularität von DJI-Drohnen ist es wichtig, dass potenziell kritische Schwachstellen wie diese schnell und effektiv behoben werden, und wir begrüßen es, dass DJI genau das getan hat“, sagt Oded Vanunu, Head of Products Vulnerability Research bei Check Point. „Nach dieser Entdeckung ist es für Unternehmen wichtig zu verstehen, dass sensible Informationen über alle Geräte und Plattformen hinweg verwendet werden können, vor allem wenn sie dann auch noch auf einer Cloud-Plattform bereitgestellt werden und jedem schutzlos ausgesetzt sind, der sich darauf Zugriff verschafft. Darüber hinaus kann es für Unternehmen zu einer Beeinträchtigung der eigenen globalen Infrastruktur führen, wenn sich Angreifer aufgrund der Informationen aus der dortigen Infrastruktur Zugriff darauf verschaffen.“
Die DJI-Ingenieure haben den von Check Point vorgelegten Bericht überprüft und ihn in Übereinstimmung mit der Bug Bounty Policy als hohes Risiko mit geringer Erkennungswahrscheinlichkeit eingestuft. Dies ist auf eine Reihe von Voraussetzungen zurückzuführen, die erfüllt sein müssen, bevor ein potenzieller Angreifer sie nutzen kann. DJI-Kunden sollten immer die aktuellste Version der DJI GO oder GO 4 Pilot-Apps verwenden.
Check Point und DJI empfehlen allen Nutzern, beim digitalen Informationsaustausch wachsam zu bleiben. Nutzer sollten stets vorsichtig sein, wenn sie mit anderen Parteien online zusammenarbeiten und Informationen auf Cloud-Plattformen hochladen. Sie sollten die Rechtmäßigkeit von Links in E-Mails und Nachrichten in Frage stellen, die sie in Benutzerforen und Websites erhalten.
Weitere Informationen zum Thema:
Check Point Research Blog
DJI Drone Vulnerability
datensicherheit.de, 22.08.2018
Cybersicherheit: Erfolgsfaktoren für Bug Bounty-Programme
datensicherheit.de, 18.07.2018
GlanceLove: Check Point veröffentlicht Details zu Android-Malware
datensicherheit.de, 12.06.2018
IT-Sicherheitsbranche: Grund für Personalmangel ist häufig die falsche Technologie
datensicherheit.de, 20.04.2018
97 Prozent der Organisationen nicht auf Cyber-Angriffe der Gen V vorbereite
Aktuelles, Experten - Dez 4, 2024 18:35 - noch keine Kommentare
Vorratsdatenspeicherung in Dauerschleife: eco fordert endlich klare Linie zum Schutz der Grundrechte
weitere Beiträge in Experten
- Crimenetwork: BKA und ZIT gelang Abschaltung
- TÜV Rheinland meldet weiter verschärfte IT-Sicherheitslage in Deutschland
- Datensouveränität: Bedeutung der Self Sovereign Identities
- Black Friday: Auch BSI warnt Schnäppchenjäger vor Cyber-Kriminellen
- Beantragung kostenfreier Schufa-Auskünfte gegen Entgelt: Verbraucherzentrale NRW moniert Web-Angebote
Aktuelles, Branche, Studien - Dez 6, 2024 13:54 - noch keine Kommentare
KnowBe4 veröffentlicht Phishing-Trends im dritten Quartal 2024 – QR-Code-Phishing auf dem Vormarsch
weitere Beiträge in Branche
- Banken müssen Cyber-Bedrohungslandschaft mit fortschrittlicher Sicherheitsstrategie begegnen
- KI-basierte Deepfakes zur effektiven Täuschung als Angriffsvektor etabliert
- Finanzsektor: Digitalisierung und Cloud bieten idealen Nährboden für Cyber-Angriffe
- Rund um den Black Friday 2024: Cyber-Gefahren für Einzelhandel drastisch zugenommen
- NIS-2 kompakt: it’s.BB e.V. lädt zu Präsenz-Awareness-Veranstaltung ein
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren