Eksperter fra virksomheden Check Point offentliggør fundet af en alvorlig sårbarhed i droner fra virksomheden DJI, verdens største producent af civile droner og luftfototeknologi til både privat og professionel brug. DJI sidder på ca. 70 % af det globale marked for droner og omsatte for over 16 milliarder kroner i 2017. Sårbarheden gjorde det muligt for uvedkommende at skaffe sig adgang til DJI’s platforme og alle de følsomme oplysninger, som deres droner indsamler fra både forbrugere og virksomheder.
I en rapport som Check Point lavede i overensstemmelse med DJI’s dusørprogram for sårbarheder, beskriver eksperterne, hvordan en hacker potentielt kunne tilgå DJI-brugeres konti gennem en sårbarhed i DJI Forum, som er en online platform for DJI-produkter. Rent teknisk gør DJI brug af en særlig digital godkendelsesnøgle til at registrere deres brugere på tværs af forskellige online platforme, og det var et hul i denne funktion, der gjorde den til et oplagt mål for hackere.
Ved at udnytte sårbarheden på forummet kunne hackere skaffe sig adgang til hele DJI’s IT-infrastruktur og servere, der bl.a. indeholdt en lang række informationer om forbrugere og virksomhedernes brug af dronerne. Disse inkluderede fotos, video, lydoptagelser og kort over flyvehistorik, hvilket i nogle tilfælde kunne blive vist live. Sårbarheden er siden blevet udbedret og der findes ikke nogen beviser for, at den skulle være blevet udnyttet.
– Vi er meget glade for den ekspertise som Check Points hold af efterforskere har udvist i forbindelse med deres ansvarlige videregivelse af data om denne potentielt kritiske sårbarhed. Eksempler som dette er lige præcis årsagen til, at vi skabte vores dusørprogram for opdagelse af sårbarheder. Alle teknologivirksomheder ved, at arbejdet med at forbedre cybersikkerheden, er en løbende proces, der aldrig er færdig. Hos DJI har beskyttelsen af vores brugeres information den højeste prioritet og vi er indstillet på fortsat at samarbejde med ansvarlige sikkerhedseksperter som Check Point, siger Mario Rebello, Vice President og landechef i Nordamerika hos DJI..
Ingeniører fra DJI gennemgik rapporten fra Check Point og vurderede om den indeholdt en høj eller lav risiko i overensstemmelse med dusørprogrammet. Denne vurdering afhænger af en række forudsætninger, der skal være opfyldt før en hacker kan udnytte sårbarheden. DJI opfordrer sine kunder til altid benytte sig af den seneste software version i pilot apps som DJI GO eller GO 4.
Check Point og DJI anbefaler alle brugere til at være opmærksomme, når de udveksler information digitalt. Det er vigtigt altid at benytte sig af sikre metoder, når man interagerer med andre online og altid være kritisk overfor links til information, som ligger på forummer og hjemmesider.
En fuld teknisk redegørelse om sårbarheden kan findes på Check Points research blog: https://research.checkpoint.com/dji-drone-vulnerability/