Phát hiện lỗ hổng XSS trong ứng dụng DJI Drone

LiLy Le
-

Các nhà nghiên cứu an ninh mạng tại Check Point vừa công khai lỗ hổng XSS trong ứng dụng DJI Drone.

Lỗ hổng này cho phép kẻ tấn công truy cập tài khoản người dùng và đồng bộ những thông tin nhạy cảm bao gồm thông tin lượt bay, vị trí, video camera và hình ảnh trong lượt bay.  

Mặc dù Check Point đã công bố lỗ hổng XSS trong ứng dụng DJI Drone vào tháng 3 nhưng sau 6 tháng công ty sản xuất DJI mới vá lỗ hổng này.

securitydaily_lỗ hổng XSS trong ứng dụng DJI Drone

Tấn công tài khoản ứng dụng DJI Drone lợi dụng 3 lỗ hổng trong cấu trúc của DJI: Lỗi Secure Cookie trong quá trình nhận diện DJI, lỗi XSS trong forum và lỗi SSL Pinning trong ứng dụng điện thoại.

Lỗ hổng đầu tiên là do không kích hoạt flag của cookie “secure” và “httponly”, cho phép kẻ tấn công cướp cookies đăng nhập của người dùng bằng cách chèn JavaScript vào website DJI Forum.

“Để khai thác lỗ hổng XSS trong ứng dụng DJI Drone này, kẻ tấn công cần viết một bài viết trong DJI Forum có link chứa nội dung độc hại. Người dùng nào click vào đường link này sẽ bị cướp thông tin đăng nhập.”

Một khi bị cướp, cookie đăng nhập sẽ bị sử dụng để chiếm tài khoản web DJI, ứng dụng điện thoại DJI GO/4/pilot Mobile Applications và tài khoản trên nền tảng quản lý DJI Flighthub.

Tuy nhiên để lợi dụng lỗ hổng XSS trong ứng dụng DJI Drone nhằm truy cập các tài khoản nói trên, kẻ tấn công phải chặn lưu lượng của ứng dụng điện thoại sau khi vượt qua khai triển SSL pinning bằng cách tấn công man-in-the-middle vào máy chủ DJI.

DJI đánh giá lỗ hổng ở mức “rủi ro cao – khả năng thấp” vì để khai thác thành công lỗ hổng XSS trong ứng dụng DJI Drone cần người dùng sau khi đăng nhập phải tự ấn vào đường link độc hại.

secủitydaily_lỗ hổng XSS trong ứng dụng DJI Drone

Hiện chưa có thông tin nào về việc lỗ hổng XSS trong ứng dụng DJI Drone bị khai thác.

Các nhà nghiên cứu ở Check Point báo cáo lỗ hổng này cho DJI thông qua chương trình tìm lỗi trao thưởng của công ty này nhưng không tiết lộ mức tiền thưởng là bao nhiêu.

Năm ngoái, DJI đã bị Cục An ninh nội địa buộc tội gửi thông tin nhạy cảm về Mỹ cho Trung Quốc thông qua các thiết bị bay không người lái và phần mềm thương mại của công ty này.

Tuy nhiên DJI phủ nhận cáo buộc nói trên và cho rằng lời buộc tội “hoàn toàn sai sự thật”.

THN

BÌNH LUẬN

Please enter your comment!