Os investigadores observam que: “O DJI usa um cookie que o atacante pode obter para identificar um utilizador e criar tokens, ou tickets, para aceder as suas plataformas.
“Through the use of this cookie, an attacker is able to simply hijack any user’s account and take complete control over any of the user’s DJI Mobile Apps, Web Account or DJI FlightHub account.”
Qualquer hacker que explorasse a vulnerabilidade seria capaz de acessar as imagens ao vivo da ferramenta de Hub de Voz da DJI, dando a localização de um drone. Em alguns casos, um hacker pode controlar mesmo vários drones.
A Check Point descobriu uma segunda vulnerabilidade que permite obter uma cookie através de um ataque XSS depois de descobrirem um request do tipo GET numa certa secção do fórum da DJI,
O payload utilizado para obter foi o seguinte: “\’ alert(document.cookie); function updateDownImageList (data) {} <!–”.
Os hackers também poderiam aceder os últimos quatro dígitos dos cartões de crédito dos utilizadores, bem como fotos tiradas em voos através dos seus drones.
Um fator-chave no hack é que o administrador ou titular da conta não receberia nenhuma notificação ou sinais de que um agente de ameaça tinha acesso total à sua conta.
A DJI foi informada sobre a vulnerabilidade em março pela Check Point e desde então realizou uma correção do sistema. A DJI classificou a vulnerabilidade como crítica, mas disse que ela tem poucas chances de ocorrer. Até o momento, eles não têm nenhuma evidência de que alguém além da Check Point tenha conhecimento ou usado a vulnerabilidade.