Ein Forscher von Check Point fand einen signifikanten Angriffspunkt in der DJI Drohnen Web App, der es Hackern ermöglicht hätte Drohnen Flotten in Echtzeit auszuspionieren. [...]
Hacker hätten Drohnen Flotten, die in kritischen Infrastrukturen genutzt werden, in Echtzeit ausspionieren können. Laut Nachforschungen von Check Point und einem bestätigenden Statement vom Drohnenhersteller DJI, hätten sich Hacker Zugriff auf Flugstreckendaten und Echtzeit Video, sowie Audiofeeds verschaffen können. Diese Sicherheitslücke, die im März von Check Point aufgedeckt wurde, konnte seither gelöst werden.
Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
DJI Drohnen, die besonders unter Drohnen Enthusiasten beliebt sind, werden verbreitet auch in der Industrie, Manufaktur, Landwirschaft und kritischen Infrastrukturen wie bei Notrufen von Polizei oder Feuerwehr eingesetzt.
„Das schlimmste an der Sache ist, dass es eine App namens FlightHub gibt. Es ist eine sehr hochentwickelte App, welche Steuerungsmöglichkeiten zwischen zwei Drohnen oder hunderten Drohnen, manche die automatisierte Flüge durchführen, ermöglicht.“ erklärt Oded Vanunu, Vorstand der Forschungsabteilung für Produktfehler bei Check Point. „Diese App wird von Exekutiven, der Feuerwehr, Polizeiabteilungen, Staatsabteilungen genutzt um ihre Umgebung besser zu kennen.“
„Nutzer des DJI FlightHub Flottenmanagementsystems hätte es passieren können, das Außenstehende auf Ihre Flüge zugreifen hätten können.“ schrieb DJI in seinem Statement.
Drohnendaten werden unentschlüsselt mit der DJI Cloud Infrastruktur synchronisiert und DJI bietet keine Cloudspeicher in dem der Nutzer die Verschlüsselung kontrollieren kann. Allerdings bietet der Drohnenhersteller einen Lokalen Datenmodus an, der das automatische synchronisieren mit der Cloud verhindert.
Fehler brachte Zugriff auf DJI App, Webstore und Cloudserver Daten
Die Forscher von Check Point fanden eine Schwachstelle im User Authentifizierungsvorgang, welche es Hackern ermöglicht hätte auf User Accounts zuzugreifen, Zugang zum DJI Webstore zu erlangen, synchronisierte Cloud Server Daten zu lesen und FlightHub zu kontrollieren. „Die Schwachstelle konnte via dem DJI Forum, einer Online Plattform die DJI für Diskussionen rund um ihre Produkte nutzt, durchbrochen werden.“ schlossen die Forscher ihren Bericht ab. „Ein Nutzer der sich in das DJI Forum einloggt, hätte nur auf einen speziellen bösartigen Link klicken müssen und schon wären seine Login Referenzen gestohlen worden um damit Zugriff auf andere DJI Online Anlagen zu erlangen.“
Die Forscher von Check Point konnten so User Accounts hacken, da der Authentifizierungsprozess zwischen dem DJI Nutzer Forum, forum.dji.com, und dem Hauptauthentifizierungsserver nicht korrekt funktionierte.
„Die Schwachstelle war im DJI Identifikationsprozess zu finden.“ so Check Point. „DJI nutzt ein Cookie, das Hacker erbeuten können um User zu identifizieren und Token oder Tickets zu kreieren, um auf die Plattformen zuzugreifen. Durch das Nutzen des Cookies kann ein Angreifer ganz einfach den User Account hacken und hat damit Kontrolle über alle DJI Mobile Apps, den Web Account oder DJI FlightHub Account des Users.“
Eine gut koordinierte Attacke auf das DJI Forum hätte tausende Drohnen kompromittieren können. Das aktive DJI Forum ist das Zuhause hunderttausender Drohnenfans. Alles Nutzer, die freudig auf einen Link klicken, da sie glauben er sei sicher.
„Als wir den Code entlarvt hatten, begannen wir damit das Forum auf seine Geschäftstauglichkeit zu testen.“ so Vanunu. „Es hat eine große User-Community, hunderttausend Events jeden Tag. Es ist ein sehr aktives Forum und gleichzeitig eine Möglichkeit um Videos zu teilen.“
„Heute wissen wir, dass der soziale Aspekt am häufigsten genutzt wird um einen Angriff zu starten.“ fügte er hinzu. „So ein Forum ist also der perfekte Hintergrund um als falscher User einen falschen bösartigen Link zu posten.“
Die DJI Mobil App zu hacken war ein wenig aufwendiger. Schlussendlich klappte es aber auch hier. Nach ein paar ordentlichen Verrenkungen um die Mobile App, um das DJI Zertifikat pinning zu brechen, rückzuentwickeln, war es den Forschern möglich via man-in-the-middle (MitM) Methode und der Burp Suite Zugriff auf den DJI Server zu erlangen.
DJI versucht vergangene Sicherheitsprobleme hinter sich zu lassen
DJI hatte in letzter Zeit immer wieder Probleme mit der Sicherheit. Erst letztes Jahr verbot das US Verteidigungsministerium der Armee DJI Drohnen zu nutzen, da es Sorge um Sicherheitsrisiken gab. „Beenden Sie jegliche Benutzung, deinstallieren Sie DJI Applikationen, entfernen Sie alle Batterien/Akkus und Speicherkarten aus den Geräten und sichern sie das Equipment für Folgeuntersuchungen.“ stand im von Lieutenant General Joseph H. Anderson veröffentlichten Memo. Grund für diese Maßnahmen, so das Memo weiter, „die wachsende Erkenntnis, dass DJI Produkte Cyber Schwachstellen aufweisen könnten“.
Auf Grund dieser Vorkommnisse begrüßt DJI Nachforschungen wie Check Point sie durchführen: „Wir applaudieren den erfahrenen Check Point Forschern, die durch ihre verantwortungsvolle Vorgehensweise eine potenziell kritische Schwachstelle entdeckt haben.“ schreibt Vizepräsident Mario Rebello in einem Statement.
*J.M. Porup schreibt für CSO.
Be the first to comment