Ключи SSL-сертификата производителя дронов DJI обнаружены в открытом доступе
Ключи цифрового сертификата для сайта китайского производителя дронов DJI в течение четырех лет находились в открытом доступе. Имея в своем распоряжении ключи SSL-сертификата dji.com, злоумышленники могут подделать сайт компании, подписать его с помощью легитимного сертификата и незаметно перенаправлять пользователей на вредоносные загрузки путем стандартной атаки «человек посередине». Злоумышленники также могут использовать ключи для расшифровки трафика, передаваемого с/на сервер.
Закрытый ключ SSL-сертификата был обнаружен исследователем Кевином Финистерре (Kevin Finisterre) в открытом репозитории DJI на GitHub. Кроме того, там же находились учетные данные для авторизации в AWS и ключи шифрования AES прошивки. В открытом хранилище AWS S3 Финистерре обнаружил в незашифрованном виде такую конфиденциальную персональную информацию, как логи полетов, данные паспортов, водительских прав и идентификационных карт. Правда, более новые логи и персональные данные были зашифрованы с использованием статического пароля OpenSSL. DJI отозвала проблемный сертификат и в сентябре нынешнего года выпустила новый.
Напомним, в августе 2017 года Армия США из соображений безопасности отказалась от использования дронов производства DJI. В 2016 году DJI согласилась предоставлять полученные со своих дронов данные властям КНР.
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш
