אותרה פרצת אבטחה שאפשרה גישה למאות אלפי רחפנים של DJI

חוקרי הגנת הסייבר של צ'ק פוינט איתרו חולשת אבטחה משמעותית בתשתית הענן של חברת DJI, שאפשרה גישה לתמונות, צילומי וידאו ונתונים אודות מסלולי התעופה של הרחפנים • הפרצה תוקנה על ידי החברה

רחפן של חברת DJI הסינית / צילום: רויטרס
רחפן של חברת DJI הסינית / צילום: רויטרס

תעשיית הרחפנים מוערכת בכ-127 מיליארד דולר, ונשלט ברובו על ידי חברת הרחפנים הסינית DJI. החברה מחזיקה בנתח שוק גלובלי של כ-70% מכלל התעשייה, ופועלת ביותר ממאה מדינות. החברה שולטת הן בשוק הרחפנים לשימוש פרטי והן בשוק המקצועי, שבו רחפנים משמשים גופים ביטחוניים, כוחות שיטור, גופי תקשורת, חברות תעשייתיות, חברות חקלאות וחברות בנייה, בפיקוח ובתחזוקה של תשתיות חיוניות.

חוקרי הגנת הסייבר של חברת צ'ק פוינט, דיקלה ברדה ורומן זאיקין, איתרו חולשת אבטחה משמעותית בתשתית הענן של חברת DJI. החולשה אפשרה לתוקפים פוטנציאלים לחדור לתשתיות הענן של DJI ולמידע של משתמשיה בשלושה רבדים.

בבסיס החולשה אותרה פרצה בתהליך הזיהוי של משתמשי הפורום הרשמי של החברה, שבו היא מפרסמת את העדכונים האחרונים וחדשות אודות מוצריה. באמצעות ניצול הפרצה, ניתן לחדור לפרטי החשבון האישי של כל אחד ממאות אלפי החברים בפורום.

ניצול נוסף של הפרצה, יכול לשמש להשתלטות מרחוק על חשבונות המשתמשים וקבלת גישה למידע השמור בהם. חברות וארגונים, וכך גם משתמשים פרטיים, אשר מסנכרנים את המידע שעל הרחפנים עם שרתי הענן של DJI, חשפו לתוקפים את אותו המידע, הכולל תמונות ו-וידאו שצולמו מהרחפן, ונתונים אודות מסלולי התעופה.

"לפני חודש פייסבוק יצאה בהודעה על פרצה שהשפעה על עשרות מיליוני משתמשים, ובעקבותיה כולם היו צריכים להתחבר מחדש לחשבון כדי לחדש את המפתחות. הפרצה שהייתה בפייסבוק היא בדיוק מאותה משפחה של הפרצה ב-DJI", אומר עודד ואנונו, ראש מחלקת חולשות מוצרים בצ'ק פוינט שעמד בראש המחקר. "להערכתנו, גניבת חשבונות בתשתיות של רחפנים וכלים חצי-צבאיים, זה כבר משהו הרבה יותר משמעותי מבחינת השלכות".

לבסוף, משתמשים שעשו שימוש בתוכנת DJI FLIGHTHUB, חשפו את המידע מהרחפנים שלהם, כולל תצלומי וידיאו, סאונד, ומיקום, בשידור חי ובזמן אמת. בצ'ק פוינט מעריכים שהכלי משרת ארגונים רבים שמשתמשים ברחפנים עם תשתיות קריטיות.

לדברי ואנונו, "התוכנה הזאת נותנת לארגונים לנהל צי של רחפנים. רוב השימושים ברחפנים היום דורשים צי ולא רחפן בודד, כי יכולת הטיסה של רחפן בודד היא מוגבלת. הציים מנוהלים על ידי אפליקציה, שברגע שיש לתוקף את המפתחות לחשבון, הוא יכול לחדור גם אליה, ושם יש לו גישה לראות את הרחפנים בזמן אמת, ולקבל תמונה וסאונד ברור".

הפרצה אפשרה לקבל מידע מהרחפנים אך לא לשלוט עליהם מרחוק. זאת משום שהחולשה נמצאה בפלטפורמה שלא מתעסקת בשליטה מרחוק כלל."השליטה על הרחפנים זה פרוטוקול נפרד מהפרוטוקולים שמחוברים לענן", אומר ואנונו. "מבחינת הארכיטקטורה יש הפרדה שלא ניתן לעקוף, ופרוטוקול השליטה נמצא בשלט של הרחפן עצמו".

הפרצה תוקנה על ידי החברה בתהליך שהחל בחודש ספטמבר ונמשך כחודשיים. DJI הודיעה כי היא רואה בחולשה זו כחולשה ברמת סיכון גבוהה, אך אין בידיה מידע המאשש ניצול בפועל של הפרצה.