美政府警告:中國造無人機盜取並回傳用戶數據

2019年05月20日時政
【新唐人北京時間2019年05月21日訊】本週一,美國國土安全部發布警報警告美國國家電視公司,中國製造的無人機可能會向其在中國的製造商發送敏感的飛行數據。該消息再度引發人們對來自共產黨統治的中國生產的智能設備的安全擔憂。
據CNN日前報導,DHS網絡安全和基礎設施安全局的警告稱,這些無人機是「組織信息的潛在風險」。這些產品「包含可能危害您的數據並在公司自身以外訪問的服務器上共享您的信息的組件。」
根據一項行業分析,該報告沒有透露任何特定製造商的名稱,但美國和加拿大使用的無人機中有近80%來自總部位於中國深圳的大疆。近年來,美國當地執法機構和基礎設施運營商已逐漸依賴無人機。
報導並指,DHS要求購買了中國製造的無人機用戶,應儘快關閉網絡功能並拆下數碼卡。
事實上,早在2017年8月,美國入境和海關執法局(Immigration and Customs Enforcement)洛杉磯辦事處就曾發出過一份報告,指稱中國的大疆商用無人機和軟件可能正在向中國發回有關美國基礎設施的敏感信息。
該備忘錄稱,官員們有「適度的信心」認為,大疆的商用無人機和軟件「正在向中國政府提供美國主要基礎設施和執法機構的數據」。
備忘錄聲稱,這項指控依據的是無人機行業的一個能接觸「一手和二手信息」的可靠來源,但沒有透露來源的確切信息。
上述消息在同年11月底被美國媒體曝光,一度引發輿論界對中共不擇手段盜取敏感信息的熱議。為此,大疆還曾發表聲明否認了相關指控,聲稱這份報告「顯然是基於虛假和誤導性的說法」。
此外,大疆無人機還曾經被曝存在用戶帳戶中通過供應商數字基礎設施傳遞的信息會被未授權訪問的問題,而被非法訪問的數據包括飛行日誌、設備拍攝的視頻和圖像、實時攝像機和麥克風提要以及飛行地圖在內。
據公開的資訊,安全研究人員Dikla Barda和Check Point的Roman Zaikin經過試驗發現,大疆的平台的身份識別和訪問控制都是使用相同的cookie。所以,竊取一次cookie就允許攻擊者徹底劫持用戶的多平台帳戶,完全偽裝成合法帳戶所有者。
經過進一步的研究,兩個人找到了一種方法,通過對最薄弱環節——大疆論壇——的跨站腳本(XSS)攻擊來獲取對用戶和無人機數據的訪問權限。
研究人員在網絡上發表的一篇研究論文中寫道:「要觸發這種XSS攻擊,攻擊者所需要做的就是在大疆論壇上寫一篇簡單的帖子,其中有xss的payload的鏈接。」
只要讓受害者點擊鏈接,他們的登錄cookie就會被竊取,而這只需創建一個合適的誘餌即可達成。
「此外,由於有數十萬用戶在大疆的論壇上交流,攻擊者甚至不需要大規模共享惡意鏈接,因為很多用戶自己將會轉發消息和鏈接,」研究人員補充說。
Check point為此次攻擊還製作了一個演示視頻,展示了攻擊者可能能未授權訪問的信息類型。
今年3月,安全專家私下向大疆報告了安全漏洞,以便提醒該公司在公布技術細節之前通過系統架構來解決這個問題。
(記者何雅婷綜合報導/責任編輯:明軒)