DATA - Internet ogledalo specijalno izdanje IO 191 DATA SPECIJAL - Page 31

Počevši od pregleda procesa iden-
tifikacije korisnika koji izvršava DJI
login platforma, uskoro je postalo
jasno da je DJI-ev back-end identi-
fikovao svakog korisnika sa istim to-
kenom za identifikaciju širom svih
platformi. Onda je bilo prilično je-
dnostavno da se izvede XSS napad
koji bi mogao biti objavljen na DJI
forumu koji koriste stotine hilja-da
DJI korisnika, presretne identifika-
DJI-a da bi se u suštini uhakovao u na-
log žrtve preko svih platformi.
Na ovaj način, nakon što je stekao
identifikacioni token korisnika, na-
padač bi mogao da otme nalog, ulo-
guje se i dobije pristup podacima
o letu i personalnim podacima koji
su ubeleženi na bespilotnoj leteli-
ci. Ustvari, s obzirom na sve DJI-jeve
platforme koje dele istu infrastruktu-
ru za autentifikaciju korisnika, kada
kator za prepoznavanje korisnika ra-
zličitih usluga proizvoda, to takođe
olakšava potencijalnim akterima pre-
tnji da se kreću bočno kroz svaki sitem
i pristupe podacima pohranjenim ta-
mo.
Ovo je, uostalom, čest problem u
dizajnu proizvoda. Kompromis između
funkcionalnosti proizvoda, korisničkog
iskustva i zahteva bezbednosti je čin
pažljivog balansiranja. Međutim, to je
Dijagram: tokovi tri napada radi krađe osetljivih podataka sa bilo koje od DJI platformi korisnika dronova
cioni token i iskoristi za prijavljiva-
nje kao korisnik. Međutim, za razliku
od većine preuzimanja naloga koji
se oslanjaju na metode socijalnog
inženjeringa da bi se obmanula ci-
ljana žrtva u slanju napadaču njenih
kredencijala za logovanje, njihov tim
je jednostavno pokupio identifikacioni
token korisnika preko linka za redovno
traženje linka postavljenog na forum
je ID za identifikaciju tokena pribav-
ljen, on bi mogao da bude korišćen
za pristup bilo kojoj od ovih platformi
i informacijama skladištenim na njima.
Ovde je razlog za zabrinutost bio
to što je zainteresovanost ovog ven-
dora za bezbednost izostala zbog
unapređenja proizvoda. Jer, iako za
veb ili app developera može biti po-
godno da koristi jedinstveni identifi-
ono što podjednako cene proizvođači
IoT uređaja i softver developeri. To
treba da naginje više ka sigurnosti,
mada još uvek ima dosta prostora za
poboljšanja.
Naučena lekcija
Cloud servisi su, po svojoj priro-
di, dostupni sa bilo kog mesta. Iako
Internet ogledalo - specijalno izdanje - DATA