DATA - Internet ogledalo specijalno izdanje IO 191 DATA SPECIJAL | Page 31

Počevši od pregleda procesa iden- tifikacije korisnika koji izvršava DJI login platforma, uskoro je postalo jasno da je DJI-ev back-end identi- fikovao svakog korisnika sa istim to- kenom za identifikaciju širom svih platformi. Onda je bilo prilično je- dnostavno da se izvede XSS napad koji bi mogao biti objavljen na DJI forumu koji koriste stotine hilja-da DJI korisnika, presretne identifika- DJI-a da bi se u suštini uhakovao u na- log žrtve preko svih platformi. Na ovaj način, nakon što je stekao identifikacioni token korisnika, na- padač bi mogao da otme nalog, ulo- guje se i dobije pristup podacima o letu i personalnim podacima koji su ubeleženi na bespilotnoj leteli- ci. Ustvari, s obzirom na sve DJI-jeve platforme koje dele istu infrastruktu- ru za autentifikaciju korisnika, kada kator za prepoznavanje korisnika ra- zličitih usluga proizvoda, to takođe olakšava potencijalnim akterima pre- tnji da se kreću bočno kroz svaki sitem i pristupe podacima pohranjenim ta- mo. Ovo je, uostalom, čest problem u dizajnu proizvoda. Kompromis između funkcionalnosti proizvoda, korisničkog iskustva i zahteva bezbednosti je čin pažljivog balansiranja. Međutim, to je Dijagram: tokovi tri napada radi krađe osetljivih podataka sa bilo koje od DJI platformi korisnika dronova cioni token i iskoristi za prijavljiva- nje kao korisnik. Međutim, za razliku od većine preuzimanja naloga koji se oslanjaju na metode socijalnog inženjeringa da bi se obmanula ci- ljana žrtva u slanju napadaču njenih kredencijala za logovanje, njihov tim je jednostavno pokupio identifikacioni token korisnika preko linka za redovno traženje linka postavljenog na forum je ID za identifikaciju tokena pribav- ljen, on bi mogao da bude korišćen za pristup bilo kojoj od ovih platformi i informacijama skladištenim na njima. Ovde je razlog za zabrinutost bio to što je zainteresovanost ovog ven- dora za bezbednost izostala zbog unapređenja proizvoda. Jer, iako za veb ili app developera može biti po- godno da koristi jedinstveni identifi- ono što podjednako cene proizvođači IoT uređaja i softver developeri. To treba da naginje više ka sigurnosti, mada još uvek ima dosta prostora za poboljšanja. Naučena lekcija Cloud servisi su, po svojoj priro- di, dostupni sa bilo kog mesta. Iako Internet ogledalo - specijalno izdanje - DATA