Check Point研究人員開發(fā)了一種可用于挾持DJI（大疆創(chuàng)新）無人機用戶賬戶的攻擊，賬戶中包含用戶的敏感信息以及對設(shè)備本身的訪問權(quán)。

據(jù)報道，Check Point研究人員開發(fā)了一種XSS攻擊，該攻擊可發(fā)布在成百上千名DJI客戶使用的DJI論壇上，以攔截識別令牌，并借此以客戶身份進行登陸。

該攻擊證明了無人機云網(wǎng)絡(luò)中存在漏洞且訪問該漏洞不受地點限制，強調(diào)了雙因素身份驗證機制與優(yōu)化身份（認證）機制的必要性，以及在IT網(wǎng)絡(luò)中組織細分的重要性，以便控制以及限制由潛在攻擊造成的損害。

攻擊者進入網(wǎng)頁論壇，竊取cookie ID并完成登陸，之后利用失竊信息或繞過SeNeo Mobile保護以訪問DJI移動端應(yīng)用程序，或訪問DJI Flight Hub上的全部信息。

一旦完成以上操作，攻擊者便可訪問無人機飛行記錄、飛行時所拍照片、支付詳情、實時訪問無人機攝像頭、無人機飛行員攝像機及其位置。由于DJI客戶識別過程存在漏洞，研究人員可挾持用戶的賬戶并完全控制任一云平臺及其中儲存的數(shù)據(jù)。

無人機本身也被用于發(fā)起攻擊。

DJI無人機應(yīng)用于多個行業(yè)，包括關(guān)鍵基礎(chǔ)設(shè)施、制造業(yè)、農(nóng)業(yè)、建筑業(yè)、應(yīng)急管理部、政府部門、軍隊及其他部門，這表示攻擊者有機會借之竊取關(guān)鍵信息。

研究人員指出，無人機可通過飛行路徑、照片、航拍錄像與地圖的形式提供有價值的偵察信息。那些針對關(guān)鍵基礎(chǔ)設(shè)施的攻擊者可通過發(fā)電站、水壩及其他設(shè)施竊取復(fù)雜的詳情及圖片信息。

針對快遞與物流公司的攻擊者可獲取路線信息，并獲知所運輸?shù)陌鼮楹挝铩⒃诤翁幰约斑\往何人，以便對包裹進行攔截。

2018年3月，DJI發(fā)現(xiàn)了該漏洞，目前該漏洞得以修復(fù)。