Investigadores da Check Point descobriram uma vulnerabilidade no código fonte do site DJI.com que permitia a execução de JavaScript e, a partir daí, tornava possível a criação de um link malicioso que enviaria dados para um servidor. Os hackers poderiam, desta forma, ter acesso aos tokens que permitem aceder a contas, mas não às passwords propriamente ditas. Como a DJI aplicava a mesma autenticação para os fóruns e para as apps, o atacante podia usar a informação roubada para fazer login em diferentes plataformas. Uma vez que o login estava a ser feito por token, também a autenticação de dois passos seria ineficaz, explica a Cnet.
Os piratas que explorassem esta falha ganhariam acesso à conta DJI dos utilizadores e a ver informação sensível como o FlightHub em tempo real, que mostra as filmagens da câmara do drone, localização do drone, os últimos dígitos do cartão de crédito e as fotos tiradas em voo. Por outro lado, teriam ainda acesso a definir rotas e controlar frotas de até 100 drones.
Oded Vanunu, responsável da Check Point, explica que os tokens são a linguagem que falamos quando nos ligamos a componentes de software. Estes tornam a autenticação mais fácil e conveniente, mas podem também representar uma porta de entrada: recentemente, hackers acederam a 30 milhões de contas de Facebook precisamente através de tokens roubados.
A DJI demorou seis meses a sanar esta falha porque teve de rever e corrigir toda a infraestrutura, explicou a Check Point. A empresa especializada em drones aplaudiu publicamente o compromisso dos investigadores da Check Point em revelarem a falha internamente e de forma responsável.
