התגלתה פרצת אבטחה ברחפנים הנמכרים בעולם

חוקרי צ'ק פוינט איתרו חולשת אבטחה משמעותית ברחפנים של חברת DJI. החברה תיקנה את הדרוש תיקון.

אורלי הררי , ל' בחשון תשע"ט

רחפן
רחפן
צילום: קובי ריכטר/TPS

חוקרי הגנת הסייבר של חברת צ'ק פוינט איתרו חולשת אבטחה משמעותית שיכולה להביא לפריצת תשתית של רחפני חברת DJI המובילה את שוק הרחפנים העולמי.

חברת DJI קיבלה מצ'ק פוינט את פרטי החולשה, הכירה בה ותיקנה את הדרוש תיקון.

בבסיס החולשה אותרה פירצה בתהליך הזיהוי של משתמשי הפורום הרשמי של חברת DJI. זהו האתר המשמש את לקוחות החברה ובו היא מפרסמת את העדכונים האחרונים וחדשות אודות מוצריה. באמצעות ניצול אותה פירצה, יכולים תוקפים לחדור לפרטי החשבון האישי של כל אחד ממשתמשי הרחפנים.

תעשיית הרחפנים מוערכת בכ-127 מיליארד דולרים. DJI פעילה ביותר ממאה מדינות ומחזיקה בנתח שוק גלובלי של כ-70%. רבים מהמשתמשים ברחפנים הם תשתיות חיוניות, גופים בטחוניים, כוחות שיטור, גופי תקשורת, חברות תעשייתיות, חברות חקלאות, בנייה, גופי חירום, תעשיית הבידור ועוד.

בנוסף, חברות וארגונים אשר מסנכרנים את המידע שעל הרחפנים (תמונות, וידאו ונתונים נוספים) עם שרתי הענן של DJI או משתמשים בתוכנת DJI FLIGHTHUB (המאפשרת צילום בשידור חי, הפעלת אודיו ושירותי מפה), וכן משתמשים פרטיים שעושים שימוש בשירותים אלו, היו חשופים בשל חולשה זו להשתלטות מרחוק על החשבון והמידע שעליו.

כמו כן, לפורצים הושגה היכולת לראות בזמן אמת את הוידאו והסאונד של כלל הרחפנים שמופעלים על ידי הגוף שנפרץ.

חוקרי צ'ק פוינט פעלו מול חברת DJI לתקן את החולשה ומשתוקנה- מתפרסמת ההודעה. DJI הודיעה כי רואה בחולשה זו כרמת סיכון גבוהה עם היתכנות נמוכה, וכי אין בידיה מידע המאשש ניצול בפועל של פרצה זו.

עודד ואנונו, ראש מחלקת חולשות מוצרים בצ'ק פוינט שעמד בראש המחקר, אמר "הפופולריות העצומה של רחפני DJI ממחישה עד כמה חשוב שחולשות אבטחה פוטנציאליות כמו זו שמצאנו תטופלנה במהירות האפשרית. אנחנו מעריכים את הפעילות המהירה של DJI לתיקון החולשות.

''חברות וארגונים אשר משתפות מידע רגיש של משתמשים בין פלטרפורמות שונות חייבים לזכור שחשיפה של פלטפורמה אחת מסכנת את כלל התשתיות שלהם, וההגנה מחוייבת המציאות היא כזו שעוסקת בכלל התשתיות ולא רק באחת מהן", הוסיף ואנונו.

מריו רבלו, סגן נשיא ומנהל אזורי בצפון אמריקה של חברת DJI, אמר "אנו מוקירים את המומחיות של חוקרי צ'ק פוינט ואת האחריות שהפגינו בהצגת המידע המלא והרגיש על החלושה המשמעותית הזו. זו הסיבה שבעטיה הקימה DJI את תוכנית איתור הבאגים. כל חברות הטכנולוגיה מבינות שהגנת הסייבר על התשתיות שלה היא תהליך מתמשך שלא נגמר. השמירה על המשתמשים שלנו והמידע שלהם נמצאת בעדיפות עליונה ואנו מחוייבים להמשיך בשיתופי פעולה עם חוקרי אבטחה אחראיים כמו אלו של צ'ק פוינט”.

צ'ק פוינט ו-DJI ממליצות למשתמשים להשתמש בגרסאות העדכניות ביותר DJI GO או 4 PILOIT APPPS וקוראות למשתמשים להיות ערניים בכל הקשור למידע אשר מעבירים לרשתות דיגיטליות.


הצעות והערות ניתן לשלוח לדואר אלקטרוני: computers@inn.co.il