นักวิจัยด้านความปลอดภัยทางไซเบอร์จาก Check Point ได้เปิดเผยรายละเอียดช่องโหว่บนเว็บแอพของโดรนยี่ห้อ DJI ที่เปิดให้ผู้โจมตีเข้าถึงบัญชีผู้ใช้ และซิงค์ข้อมูลภายในออกมาได้ ไม่ว่าจะเป็นประวัติการขึ้นบิน, ตำแหน่งที่ตั้ง, รวมถึงข้อมูลทั้งภาพและวิดีโอที่ถ่ายทำระหว่างบิน
ทางนักวิจัยได้รายงานช่องโหว่นี้ให้แก่ทีมงานด้านความปลอดภัยของ DJI เมื่อมีนาคมที่ผ่านมา ซึ่งบริษัทผู้ผลิตโดรนสัญชาติจีนรายนี้ได้ใช้เวลาประมาณ 6 เดือนจึงสามารถแก้ไขปัญหาดังกล่าวได้ในเดือนกันยายน
สำหรับช่องโหว่ของเว็บแอพโดรนจีนนี้มี 3 รายการด้วยกัน ได้แก่บั๊กเกี่ยวกับคุกกี้ในกระบวนการระบุตัวตน, ช่องโหว่แบบ Cross-Site Scripting (XSS) ในส่วนของฟอรั่ม, และปัญหาเรื่อง SSL Pinning ของแอพบนอุปกรณ์พกพา ซึ่งโดยเฉพาะช่องโหว่เกี่ยวกับคุกกี้ที่ไม่ได้ใส่แฟลกให้ทำงานผ่าน HTTP เท่านั้น ทำให้ผู้โจมตีสามารถขโมยคุกกี้ที่ระบุเซสชั่นการล็อกอินได้โดยการฝังโค้ดจาวาสคริปต์อันตรายบนเว็บบอร์ด DJI Forum ผ่านช่องโหว่ XSS อีกที
นอกจากเรื่องนี้แล้ว ทาง DJI ก็กำลังโดนเล่นงานอีกกรณีหนึ่งที่ทางกระทรวงความมั่นคงมาตุภูมิสหรัฐฯ ได้ออกประกาศกล่าวหาบริษัทว่าคอยส่งข้อมูลลับเกี่ยวกับโครงสร้างพื้นฐานของทางการสหรัฐฯ ให้แก่จีนผ่านระบบโดรนและซอฟต์แวร์ของตัวเองด้วย
ที่มา : Thehackernews
