Een kwetsbaarheid in het forum van de Chinese dronemaker DJI gaf buitenstaanders toegang tot onder meer de foto's en video's die een gebruiker met zijn drone heeft gemaakt.

Ook konden buitenstaanders door het lek de exacte vlieglocaties van de drone zien, ontdekten onderzoekers van het internetbeveiligingsbedrijf Check Point. De bezitter van de drone moest deze gegevens daarvoor wel opslaan op de cloudserver van DJI.

Gebruikers die DJI's software gebruiken om van afstand drones te besturen, gaven dankzij de kwetsbaarheid ook live inzicht in de camerabeelden van de vliegende drone. Ook gaf het lek de mogelijkheid om gegevens over het DJI-account in te zien.

De onderzoekers van Check Point vonden de kwetsbaarheid in het online forum van DJI. Dankzij het lek konden zij van ingelogde gebruikers, die vervolgens op een malafide link klikten, het account overnemen. De onderzoekers maakten misbruik van een inlogfunctie, maar wisten niet de wachtwoorden zelf te achterhalen.

Geen indicatie van misbruik

Check Point heeft de kwetsbaarheid in maart 2018 bij DJI, dat marktleider is op het gebied van consumentendrones, gemeld. Volgens de onderzoekers nam het bedrijf zijn verantwoordelijkheid en is het lek inmiddels gedicht.

Hoewel de kwetsbaarheid een buitenstaander veel mogelijkheden tot misbruik gaf, is de kans dat het lek misbruikt is volgens DJI niet groot. Er is geen indicatie dat de kwetsbaarheid daadwerkelijk door anderen gevonden is.