In un report elaborato conformemente al Bug Bounty Program di DJI, il team di ricerca di Check Point ha spiegato come un criminale informatico avrebbe potuto ottenere accesso agli account degli utenti, attraverso una vulnerabilità scoperta all’interno del processo di identificazione necessario per accedere al Forum DJI, il forum dedicato ai prodotti dell’azienda. I ricercatori di Check Point hanno, infatti, scoperto che le piattaforme DJI utilizzano un token per identificare gli utenti registrati in diversi momenti della customer experience, che avrebbe potuto essere utilizzato dagli hacker in cerca di modi per accedere agli account.
Sia gli utenti dei droni DJI che hanno sincronizzato i loro dati di volo, inclusi foto, video e giornali di bordo con i server cloud di DJI, sia gli utenti aziendali DJI utilizzatori del software DJI FlightHub, che include una telecamera, l’audio e la visualizzazione delle mappe, sarebbero potuti diventare dei potenziali bersagli. La falla è stata risolta e non ci sono prove che sia mai stata sfruttata.
“Siamo soddisfatti della competenza dimostrata dal team di ricerca di Check Point riguardo la scoperta di una vulnerabilità potenzialmente così critica”, ha affermato Mario Rebello, Vice Presidente e Country Manager, di DJI North America. “Questo è esattamente il motivo per cui DJI ha istituito il Bug Bounty Program. Tutte le aziende tecnologiche devono capire che consolidare la sicurezza informatica deve essere un processo regolare. Proteggere l’integrità delle informazioni degli utenti è una priorità assoluta per DJI e noi ci impegniamo a collaborare costantemente con gli attori della sicurezza, come Check Point.”
“Data la popolarità dei droni DJI, è importante che le vulnerabilità potenzialmente critiche come questa siano affrontate in modo rapido ed efficace, e ci congratuliamo con DJI per aver agito così velocemente”, ha dichiarato Oded Vanunu, Head of Products Vulnerability Research di Check Point. “Questa scoperta ci insegna quanto sia importante che le organizzazioni capiscano che le informazioni sensibili possono essere utilizzate tramite più piattaforme e, se esposte su una di queste, possono compromettere l’integrità di dell’intera infrastruttura globale.”
Gli ingegneri di DJI hanno esaminato il report presentato da Check Point e, in conformità con la Bug Bounty Policy, lo hanno classificato come ad alto rischio/bassa probabilità. Ciò è dovuto a una serie di prerequisiti che devono essere soddisfatti prima che un potenziale attaccante possa sfruttarlo. I clienti DJI dovrebbero sempre utilizzare la versione più recente delle applicazioni pilota DJI GO o GO 4.
Check Point e DJI consigliano a tutti gli utenti di rimanere vigili quando condividono informazioni in formato digitale; inoltre, suggeriscono di adottare abitudini informatiche sicure in caso di interazioni online con gli altri utenti e di mettere in discussione la legittimità dei link alle informazioni visualizzate sui forum e sui siti web.