News

Schwere Sicherheitslücke bei DJI-Drohnen entdeckt: Das musst Du wissen

DJI-Drohnen litten bis kürzlich noch unter einer schweren Sicherheitslücke, die jetzt aber endlich geschlossen wurde.
DJI-Drohnen litten bis kürzlich noch unter einer schweren Sicherheitslücke, die jetzt aber endlich geschlossen wurde. (©DJI 2018)

Drohnen des Herstellers DJI waren bis vor Kurzem von einer schweren Sicherheitslücke betroffen, die es Angreifern ermöglichte, Nutzer-Accounts zu übernehmen und so Zugriff auf persönliche Daten wie Fotos und Videos der Drohnenbesitzer zu erhalten. Ob von der Sicherheitslücke noch eine Gefahr ausgeht und wo das Problem lag, erfährst Du hier.

Die besagte Sicherheitslücke wurde von der Sicherheitsfirma Check Point am Anfang des Jahres entdeckt und im Rahmen des Bug-Bounty-Programms im März bei DJI gemeldet. Über das Ausnutzen zweier Bugs hätten Angreifer die volle Kontrolle über Accounts erlangen und so auf persönliche Daten zugreifen können. DJI konnte die Sicherheitslücken mittlerweile schließen, wie Cnet berichtet.

Abgreifen von Authorisierungstoken hätte Login ohne Passwort ermöglicht

Der erste Bug befand sich im Code von DJI.com und ermöglichte es Angreifern, eigenes JavaScript auszuführen. Dadurch wäre das Erstellen bösartiger Links möglich gewesen, mit denen im Forum von DJI beim Anklicken die Authorisierungstoken der Nutzer gestohlen werden konnten. Solch ein Token ermöglicht es dem Angreifer, sich in fremde Accounts einzuloggen und Sicherheitsmaßnahmen wie eine 2-Faktor-Authentifizierung zu umgehen. Wie Check Point berichtet, verwenden das Forum und die Apps von DJI dieselbe Authentifikation, und Hacker hätten so Zugriff auf private Daten sowie Fotos und Videos der Drohnen erhalten können. Ob das jemals passiert ist, ist nicht bekannt.

DJI-Entwickler haben Login grundlegend überarbeitet

Sicherheitsingenieure von DJI klassifizierten die Sicherheitslücke als sehr riskant, aber mit niedriger Wahrscheinlichkeit, weil Nutzer erst im eingeloggten Zustand auf den bösartigen Link im Forum klicken mussten. Die Entwickler haben aber die Schwachstellen nicht nur ausgebessert, sondern die Anmeldung grundlegend überarbeitet und sicherer gemacht. Check Point konnte in einem erneuten Test bestätigen, dass die Sicherheitslücke nun geschlossen ist.

Artikel-Themen
close
Bitte Suchbegriff eingeben