חולשת אבטחה ברחפנים הפופולריים בעולם
צ'ק פוינט גילתה פירצה שאיפשרה להאקרים להשתלט על מידע של משתמשי רחפני DJI ולקבל וידאו וסאונד בשידור חי. לא ידוע אם החולשה, שכבר תוקנה בינתיים, נוצלה לרעה
חברת אבטחת המידע צ'ק פוינט הודיעה היום (ה') כי איתרה חולשת אבטחה משמעותית ברחפנים של חברת DJI שמחזיקה בנתח שוק גלובלי של 70 אחוז. החולשה איפשרה להאקרים לפרוץ לחשבונות האישיים של מפעילי הרחפנים, כמו גם לשרתי ענן ותוכנה של ארגונים וחברות, והיא תוקנה לאחר שחוקרי צ'ק פוינט יצרו קשר עם היצרנית. לפי DJI, אין מידע המצביע על כך שהפירצה נוצלה בפועל.
חוקרי הגנת הסייבר של צ'ק פוינט, דיקלה ברדה ורומן זאיקין, איתרו את הפירצה בתהליך הזיהוי של משתמשי הפורום הרשמי של DJI. באמצעות פירצה זו, יכלו תוקפים לחדור לפרטי החשבון האישי של כל אחד ממשתמשי הרחפנים, מה שהיה מאפשר להם בזמן אמת לשלוט מרחוק במידע שעל הרחפנים ולקבל וידאו וסאונד בשידור חי.
חברות וארגונים אשר מסנכרנים את המידע שעל הרחפנים עם שרתי הענן של DJI או משתמשים בתוכנת DJI FLIGHTHUB, וכן משתמשים פרטיים שעושים שימוש בשירותים אלו, היו חשופים להשתלטות מרחוק על החשבון והמידע שבו.
"הפופולריות העצומה של רחפני DJI ממחישה עד כמה חשוב שחולשות אבטחה פוטנציאליות כמו זו שמצאנו תטופלנה במהירות האפשרית", אמר עודד ואנונו, ראש מחלקת חולשות מוצרים בצ'ק פוינט, "אנחנו מעריכים את הפעילות המהירה של DJI לתיקון החולשות".
ב-DJI אמרו כי מדובר בחולשה ברמת סיכון גבוהה עם היתכנות נמוכה. מריו רבלו, סגן נשיא ומנהל אזורי בצפון אמריקה בחברה, מסר: "השמירה על המשתמשים שלנו והמידע שלהם נמצאת בעדיפות עליונה ואנו מחוייבים להמשיך בשיתופי פעולה עם חוקרי אבטחה אחראיים כמו אלו של צ'ק פוינט".
כעת ממליצות צ'ק פוינט ו-DJI למשתמשים להשתמש בגרסאות העדכניות ביותר - DJI GO או 4 PILOIT APPPS - וקוראות למשתמשים להיות ערניים בכל הקשור למידע אשר הם מעבירים לרשתות דיגיטליות.