חוקרי הגנת הסייבר של חברת צ'ק פוינט, דיקלה ברדה ורומן זאיקין, איתרו חולשת אבטחה משמעותית שיכולה להביא לפריצת תשתית של רחפני חברת DJI המובילה את שוק הרחפנים העולמי. מהחברה נמסר היום (חמישי) כי חברת DJI קיבלה מצ'ק פוינט את פרטי החולשה, הכירה בה וביצעה את התיקונים הנדרשים. 

בבסיס החולשה אותרה פירצה בתהליך הזיהוי של משתמשי הפורום הרשמי של חברת DJI. זהו האתר המשמש את לקוחות החברה ובו היא מפרסמת את העדכונים האחרונים והחדשות אודות מוצריה. תוקפים שונים יכלו לנצל את הפרצה כדי לחדור לפרטי החשבון האישי של כל אחד ממשתמשי הרחפנים.

תעשיית הרחפנים מוערכת בכ-127 מיליארד דולרים, וחברת DJI פעילה ביותר ממאה מדינות ומחזיקה בנתח שוק גלובלי של כ-70%. רבים מהמשתמשים ברחפנים הם תשתיות חיוניות, גופים ביטחוניים, כוחות שיטור, גופי תקשורת, חברות תעשייתיות, חברות חקלאות, בנייה, גופי חירום, תעשיית הבידור ועוד. 

בנוסף, חברות וארגונים אשר מסנכרנים את המידע שעל הרחפנים, הכולל בין היתר תמונות, וידאו ונתונים נוספים, עם שרתי הענן של DJI או משתמשים בתוכנת DJI FLIGHTHUB (המאפשרת צילום בשידור חי, הפעלת אודיו ושירותי מפה), וכן משתמשים פרטיים שעושים שימוש בשירותים אלו, היו חשופים להשתלטות מרחוק על החשבון והמידע שעליו. כמו כן, לפורצים הושגה היכולת לראות בזמן אמת את הוידאו והסאונד של כלל הרחפנים שמופעלים על ידי הגוף שנפרץ. 

חוקרי צ'ק פוינט פעלו מול החברה במטרה לתקן את החולשה, וההודעה פורסמה לאחר התיקון. DJI הודיעה כי רואה בחולשה זו כרמת סיכון גבוהה עם היתכנות נמוכה, וכי אין בידיה מידע המאשש ניצול בפועל של פרצה זו. 

 


עודד ואנונו, ראש מחלקת חולשות מוצרים בצ'ק פוינט שעמד בראש המחקר הסביר כי "הפופולריות העצומה של רחפני DJI  ממחישה עד כמה חשוב שחולשות אבטחה פוטנציאליות כמו זו שמצאנו תטופלנה במהירות האפשרית. אנחנו מעריכים את הפעילות המהירה של DJI  לתיקון החולשות". לדבריו, חברות וארגונים אשר משתפות מידע רגיש של משתמשים בין פלטרפורמות שונות חייבים לזכור שחשיפה של פלטפורמה אחת מסכנת את כלל התשתיות שלהם, וההגנה מחויבת המציאות היא כזו שעוסקת בכלל התשתיות ולא רק באחת מהן.

מריו רבלו, סגן נשיא ומנהל אזורי בצפון אמריקה, DJI : "אנו מוקירים את המומחיות של חוקרי צ'ק פוינט ואת האחריות שהפגינו בהצגת המידע המלא והרגיש על החולשה המשמעותית הזו. זו הסיבה שבעטיה הקימה DJI את תוכנית איתור הבאגים". הוא הסביר כי "כל חברות הטכנולוגיה מבינות שהגנת הסייבר על התשתיות שלה היא תהליך מתמשך שלא נגמר. השמירה על המשתמשים שלנו והמידע שלהם נמצאת בעדיפות עליונה ואנו מחויבים להמשיך בשיתופי פעולה עם חוקרי אבטחה אחראיים כמו אלו של צ'ק פוינט”. 

מהחברות נמסר כי הן "ממליצות למשתמשים להשתמש בגרסאות העדכניות ביותר DJI GO  או 4 PILOIT APPPS". כמו כן, הן קוראות למשתמשים להיות ערניים בכל הקשור למידע אשר מעבירים לרשתות דיגיטליות.