Güvenlik uzmanları DJI dronelarında 16 ciddi güvenlik açığı tespit etti. Tespit edilen güvenlik açıklarından 14’ü operatörün akıllı telefonuna uzaktan erişim sağlıyor ve drone’ları uçuş sırasında düşürme potansiyeline sahip.
Araştırma Bochum Üniversitesi (Almanya) ve CISPA (Helmholtz Bilgi Güvenliği Merkezi) tarafından ortaklaşa yürütüldü. Araştırmacılara göre, güvenlik açıkları hem pilotun hem de drone’un konumlarını belirlemelerine, senkronize bulut verilerine erişmelerine ve cihaz kimlik bilgilerini değiştirmelerine olanak sağladı.
İçindekiler
Şifrelenmemiş güvenlik protokolleri
Drone’ların düzenlenmesine yönelik tedbirlerden biri, hava trafiği düzenleyicilerine gerçek zamanlı bilgi aktaran DroneID protokolünü içermektedir. Bu veriler, kullanıcı ve cihaz konumlarının yanı sıra erişim ve kayıt kimlik bilgilerini de içeriyor.
Ayrıca bkz: Windows 11 Beklenen Özelliği Yakında Kullanıma Sunabilir
Araştırmacılar, dronların sistemine olası ağ geçitlerinin üstünkörü bir analizini yaparak, söz konusu protokolün şifrelenmediğini gözlemledi. Basit tersine mühendislik uygulamaları kullanılarak tüm bu bilgilere erişmek mümkün oldu.
Ayrıca DJI’ın forumlarındaki ID çerezleri aracılığıyla güvenlik açıklarından faydalanmak da mümkündü. Yerleşik bir kullanıcı sistemi olduğu için, bu saldırı bilgisayar korsanlarına hesapların ve diğer hassas bilgilerin kontrolünü ele geçirme olanağı verdi.
Her iki durumda da operatörün akıllı telefonuna ve dolayısıyla drone’a uzaktan erişim sağlandı. Bu sayede uçağı uçuşun ortasında indirebildi. Ayrıca cihazın seri numarasını değiştirerek kimliğini gizlemek ve drone’ların havaalanları ve hapishaneler gibi kısıtlı alanlarda uçmasını engelleyen güvenlik önlemlerini aşmak da mümkün oldu.
— DJI (@DJIGlobal) March 8, 2023
Bunlar son derece hassas konular olduğu için araştırmacılar araştırmayı yayınlamadan önce güvenlik açığı raporunun tamamını DJI’a sundu. Şirkete göre, işaret edilen tüm güvenlik açıkları halihazırda düzeltilmiş durumda.