研究人员揭露DJI漏洞，恐让骇客偷走无人机拍摄的机密影像

资安业者Check Point本周指出，DJI的身份认证程序含有安全漏洞，将允许骇客挟持用户账号，并存取用户存放在DJI网站、行动程式，以及无人机操作管理平台FlightHub的所有资料。

源自中国的DJI（大疆创新）为全球首屈一指的无人机制造商，在商用及消费性无人机市场的占有率高达7成，有鉴于有愈来愈多的产业开始利用无人机来提供服务或执行侦察功能，用户账号及内容的外泄将带来重大风险。

研究人员在今年3月发现DJI的身份认证程序含有安全漏洞，它使用一个cookie来辨识用户并建立令牌，而骇客也可利用此一cookie来挟持使用者的账号；只要在DJI论坛上张贴一则含有恶意连结的文章，让举凡登入DJI论坛并点选该连结的使用者都会曝露自己的登入凭证。

攻击手法：（来源：Check Point）

由于DJI的3个云端平台（网站、行动程式及FlightHub）都采用同样的使用者身份认证架构，因此，同一个身份令牌就能周游在这3个平台上。

Check Point认为，无人机的安全危机并不只在于装置会遭到挟持，还在于同步到云端的资料会遭到窃取，特别是在愈来愈多产业采用无人机的时代。例如电信业者已经利用无人机替战场、灾难地区或是其它难以到达的区域提供暂时性的网络服务；航空业者或大型电场也都会透过无人机来检查基础设施或是危险地带的状况；物流业者更是仰赖无人机来送货。

假设无人机的用户账号被入侵了，骇客将能存取用户的个人资讯、无人机的路径、无人机所拍摄的照片及影片、无人机的即时视野，或者是飞行员的位置等。倘若骇客取得了物流业者的无人机路径，就有机会拦截无人机所运送的货物，而其它产业的无人机拍摄内容也可能泄露宝贵或机密资讯。

Check Point指出，云端服务的优点在于到处都可存取，这同样也让它的账号更容易受到骇客觊觎，云端服务供应商应该要以双因素身份认证机制来保护用户的账号安全；此外，可存取某个服务的使用者身份认证程序不应适用于所有服务，建议所有的企业都应在IT网络上采用分割政策。

接获通知的DJI已经修补了相关漏洞，并说没有证据显示除了Check Point的研究人员之外，还有其它人曾开采该漏洞。