DJI تصلح ثغرة سمحت بسرقة بيانات مستخدميها
أعلنت شركة دي جي آي DJI الصينية لصناعة الطائرات بدون طيار التجارية والاستهلاكية عن إصلاحها لثغرة في بنيتها التحتية السحابية سمحت للمهاجمين بالتحكم في حسابات المستخدمين والوصول إلى البيانات الخاصة مثل الصور ومقاطع الفيديو التي تم التقاطها بواسطة طائراتها بدون طيار، إلى جانب توفير الثغرة للهاكرز معلومات الحساب الشخصية للمستخدم وتفاصيل بطاقة الائتمان وسجلات الطيران التي تتضمن بيانات الموقع والخرائط، بحيث يمكن للمتسللين الوصول إلى موقع الطائرة بدون طيار في الوقت الفعلي والحصول على لقاط حية أثناء الرحلة.
وينظر إلى DJI على أنها أكبر مصنع للطائرات بدون طيار الاستهلاكية في العالم، حيث تستحوذ الشركة الصينية على ما يقرب من 70 في المئة من صناعة الطائرات بدون طيار التجارية والاستهلاكية العالمية، وتعرضت منتجاتها بشكل متكرر إلى التدقيق من جانب حكومة الولايات المتحدة الأمريكية بشأن مخاوف تتعلق بالخصوصية والأمان، حيث منعت وزارة الدفاع الأمريكية في شهر مايو/أيار شراء الطائرات بدون طيار الاستهلاكية المقدمة من قبل مجموعة من البائعين، بما في ذلك شركة DJI.
واكتشف باحثون أمنيون من شركة “تشيك بوينت” Check Point الثغرة في شهر مارس/آذار، حيث وجد الباحثون أنهم يستطيعون الحصول على رموز الدخول المميزة، والتي تسمح بدورها لمستخدمي DJI بالانتقال بسلاسة بين الخدمات السحابية المختلفة للشركة دون الحاجة إلى تسجيل الدخول في كل مرة عبر ما يسمى بنظام تسجيل الدخول الموحد، بحيث يعد رمز الدخول المميز بمثابة المفتاح الأساسي لحساب المستخدم بالكامل.
وسقط المستخدمون فريسة للهجوم من خلال النقر على رابط خبيث تمت مشاركته من خلال منتدى DJI، وهو منتدى على الإنترنت تديره الشركة لإجراء مناقشات حول منتجاتها، حيث كان أي مستخدم ينقر فوق الرابط الخبيث المزروع معرضًا لسرقة معلومات تسجيل الدخول الخاصة به، الأمر الذي منح الهاكرز حق الوصول إلى البيانات السحابية ومعلومات الحساب والمتجر والمنتدى والبيانات الأخرى.
كما منحهم الوصول إلى بيانات المستخدم من FlightHub، وهو نظام إدارة طائرات DJI الذي يخزن لقطات البث المباشر، وأوضحت شركة الأمن أن “العديد من الشركات تستخدم المصادقة لمرة واحدة من أجل إنشاء رمز دخول مميز للمستخدم مما يسمح لهم بالوصول إلى خدمات مختلفة دون الحاجة إلى إدخال اسم المستخدم وكلمة المرور طوال الوقت، ولكن هذا يعني أننا نعيش في عصر يمكن أن يصبح فيه الهجوم المستهدف حلًا واسعًا”.
فيما قالت شركة دي جي آي DJI إنها قاد قامت منذ إعلامها بالخلل بفحص برمجياتها وأجهزتها للتأكد من عدم تكرار الهجوم، وحدد مهندسو الشركة الثغرة على أنها ذات “خطورة عالية واحتمالية منخفضة” تبعًا إلى أنه من الصعب تنفيذها لتطلبها مجموعة معقدة من الشروط المسبقة لاستغلالها بنجاح، حيث أنه يجب أن يقوم المستخدم بتسجيل الدخول إلى حساب DJI الخاص به أثناء النقر على الرابط الخبيث المزروع خصيصًا في منتدى DJI.
وقام مهندسو DJI بتصحيح هذه الثغرة، ولا يوجد أي دليل على أنه قد تم استغلالها من قبل المهاجمين، وأوضحت شركة Check Point كيف تمكن المهاجمون من الوصول إلى حسابات المستخدمين، حيث يتضمن الرابط المنشور في المنتديات جزء إضافي يتضمن تعليمات برمجية، وعندما ينقر المستخدم عليه، يتم تشغيل نص برمجي بشكل سري في الخلفية، والذي بدوره يجمع “ملفات تعريف الارتباط” التي تحتوي على رمز دخول المستخدم.
وتمكن الهاكرز من خلال استخدام رموز الدخول هذه من تجاوز طبقات الأمان الإضافية مثل المصادقة الثنائية، ما يعني أن المستخدمين لن يعرفوا ما إذا كان حسابهم قد تم اختراقه أم لا، وشكلت هذه القضية مصدر قلق لأن الطائرات بدون طيار لديها الكثير من المعلومات الخاصة وكان من الممكن الحصول عليها بسهولة تامة.
وقد استخدمت الطائرات بدون طيار ضمن كل شيء مثل التدريبات العسكرية وبث الأخبار والدراسات الميدانية، وقال ماريو ريبيلو Mario Rebello، نائب رئيس شركة DJI في أمريكا الشمالية: “تدرك جميع شركات التكنولوجيا أن تعزيز الأمن السيبراني هو عملية مستمرة لا تنتهي أبدًا. وحماية سلامة معلومات مستخدمينا هي أولوية قصوى لشركة DJI، ونحن ملتزمون بالتعاون المستمر مع الباحثين الأمنيين مثل Check Point”.
