DJI corrige vulnerabilidades na sua plataforma.
A empresa de segurança Check Point descobriu, ainda em março, uma vulnerabilidade que dá acesso às contas pessoais de usuários de produtos da DJI, uma das principais fabricantes de drones do mundo.
A vulnerabilidade encontrada diz respeito à infraestrutura de nuvem, que poderia permitir invasões que colocariam as contas dos usuários em controle de terceiros, culminando em vazamento de dados privados, inclusive as fotos e vídeos feitos durante os vôos dos drones e até mesmo dados sobre geolocalização, tudo em tempo real. Isso se daria caso um cibercriminoso usasse um cookie especial, o que poderia ser possibilitados pela criação de links maliciosos mas legítimos nos fóruns de clientes da DJI, roubando os cookies de autenticação das vítimas e usando-os no esquema de login único da empresa.
As falhas foram expostas pela Check Point por meio de um programa de recompensas da DJI. A fabricante de drones classificou a vulnerabilidade como sendo de “alto risco, mas baixa probabilidade”, porque “o usuário teria que estar logado em sua conta DJI enquanto clicasse em um link malicioso especialmente plantado no Fórum DJI”, afirmando ainda que não encontrou evidências de que a falha tenha sido explorada.
Mais de sete meses após a denúncia da vulnerabilidade, a Check Point afirma que a DJI reformulou totalmente alguns dos elementos de autenticação de usuários, não apenas corrigindo os bugs reportados inicialmente, mas também melhorando a segurança do sistema como um todo.
Fonte: Wired / canaltech