中国造无人机盗取并回传用户数据

JPEN2018

美国国土安全部发布警报警告美国国家电视公司，中国制造的无人机可能会向其在中国的制造商发送敏感的飞行数据。该消息再度引发人们对来自共产党统治的中国生产的智能设备的安全担忧。

据CNN日前报导，DHS网络安全和基础设施安全局的警告称，这些无人机是“组织信息的潜在风险”。这些产品“包含可能危害您的数据并在公司自身以外访问的服务器上共享您的信息的组件。”
根据一项行业分析，该报告没有透露任何特定制造商的名称，但美国和加拿大使用的无人机中有近80％来自总部位于中国深圳的大疆。近年来，美国当地执法机构和基础设施运营商已逐渐依赖无人机。
报导并指，DHS要求购买了中国制造的无人机用户，应尽快关闭网络功能并拆下数码卡。
事实上，早在2017年8月，美国入境和海关执法局(Immigration and Customs Enforcement)洛杉矶办事处就曾发出过一份报告，指称中国的大疆商用无人机和软件可能正在向中国发回有关美国基础设施的敏感信息。
该备忘录称，官员们有“适度的信心”认为，大疆的商用无人机和软件“正在向中国政府提供美国主要基础设施和执法机构的数据”。
备忘录声称，这项指控依据的是无人机行业的一个能接触“一手和二手信息”的可靠来源，但没有透露来源的确切信息。

上述消息在同年11月底被美国媒体曝光，一度引发舆论界对中共不择手段盗取敏感信息的热议。为此，大疆还曾发表声否认了相关指控，声称这份报告“显然是基于虚假和误导性的说法”。
此外，大疆无人机还曾经被曝存在用户账户中通过供应商数字基础设施传递的信息会被未授权访问的问题，而被非法访问的数据包括飞行日志、设备拍摄的视频和图像、实时摄像机和麦克风提要以及飞行地图在内。
据公开的资讯，安全研究人员Dikla Barda和Check Point的Roman Zaikin经过试验发现，大疆的平台的身份识别和访问控制都是使用相同的cookie。所以，窃取一次cookie就允许允许攻击者彻底劫持用户的多平台账户，完全伪装成合法账户所有者。
经过进一步的研究，两个人找到了一种方法，通过对最薄弱环节——大疆论坛——的跨站脚本(XSS)攻击来获取对用户和无人机数据的访问权限。
研究人员在网络上发表的一篇研究论文中写道：“要触发这种XSS攻击，攻击者所需要做的就是在大疆论坛上写一篇简单的帖子，其中有xss的payload的链接。”
只要让受害者点击链接，他们的登录cookie就会被窃取，而这只需创建一个合适的诱饵即可达成。

“此外，由于有数十万用户在大疆的论坛上交流，攻击者甚至不需要大规模共享恶意链接，因为很多用户自己将会转发消息和链接，”研究人员补充说。
Check point为此次攻击还制作了一个演示视频，展示了攻击者可能能未授权访问的信息类型。
今年3月，安全专家私下向大疆报告了安全漏洞，以便提醒该公司在公布技术细节之前通过系统架构来解决这个问题。
（记者何雅婷综合报导/责任编辑：明轩）