Fallo de seguridad en la plataforma y la aplicación de drones DJI

Investigadores de la firma de ciberseguridad Check Point descubrieron una falla de seguridad en la plataforma y la aplicación de drones DJI que deja expuestas las cuentas de los usuarios de estos dispositivos al acceso no autorizado de ciberdelincuentes. 

Las plataformas de la firma de drones utilizaban un token para identificar a los usuarios registrados en los diferentes aspectos de la experiencia del cliente, a través del cual ciberdelincuentes pueden buscar formas de acceder a las cuentas.

Según el informe de la firma de ciberseguridad y de acuerdo con el Bug Bounty Program de DJI, ciberatacantes podrían haber obtenido acceso a la cuenta de un usuario a través de una vulnerabilidad en el proceso de identificación en el Foro de DJI, una comunidad ‘online’ patrocinada por la marca para debatir sobre sus productos.

Los usuarios de DJI que habían sincronizado sus registros de vuelo, así como fotos y vídeos en los servidores de la nube de DJI, y los usuarios corporativos de DJI que usaron el software DJI FlightHub, que incluye una cámara en vivo, audio y vista de mapa, podrían haberse visto afectados por la vulnerabilidad.

Los ingenieros de DJI revisaron el informe presentado por Check Point y, de acuerdo con la política Bug Bounty, lo marcaron como de alto riesgo, pero baja probabilidad.

En un comunicado conjunto, las dos compañías informaron de que el fallo de seguridad fue reparado y no hay evidencia de que la vulnerabilidad haya sido explotada. 

EUROPAPRESS