Abo
  • Services:

Drohnenhersteller: DJI vergisst TLS-Schlüssel und Firmwarekeys auf Github

DJI reiht sich ein in die unrühmliche Liste von Unternehmen mit ungeschützten S3-Buckets und privaten Zertifikaten auf Github. Betroffen von dem Leak sind Führerscheindaten, Reisepässe und Logs von Flügen.

Artikel veröffentlicht am ,
Die DJI Mavic Pro
Die DJI Mavic Pro (Bild: Tobias Költzsch/Golem.de)

Der chinesische Drohnenhersteller DJI hat über mehrere Jahre hinweg vertrauliche Informationen in seinem Github-Repository verraten. Unter den Informationen waren ein privates Wildcard-Zertifikat für *.dji.com. Auch zahlreiche Kundeninformationen sollen verraten worden sein - diese allerdings in einem unzureichend gesicherten S3-Bucket.

Stellenmarkt
  1. Sanacorp Pharmahandel GmbH, Planegg
  2. InnoLas Solutions GmbH, Krailling Raum München

Angreifer hätten das Wildcard-Zertifikat nutzen können, um legitim aussehende Kopien von DJIs Webseite aufzusetzen. Diese hätten zum Beispiel für eine Phishing-Kampagne genutzt werden können. Außerdem hätte der verschlüsselte Webseitentraffic mitgeschnitten und entschlüsselt werden können.

Gefunden wurden die Informationen vom Sicherheitsforscher Kevin Finisterre in einem Github-Repo von DJI. Neben dem Zertifikat fanden sich dort AWS-Schlüssel für Amazons Cloudinfrastruktur und ein AES-Schlüssel, der angeblich zum Code-Signing genutzt wurde. Seine Ergebnisse hat er in einem 18-seitigen PDF veröffentlicht.

Unverschlüsselte Fluglogs und Ausweiskopien im Netz

Finisterre beschreibt das Ausmaß der veröffentlichten Daten wie folgt: "Ich habe unverschlüsselte Fluglogs gesehen, Scans von Pässen, Führerscheinen und Personalausweisen." Immerhin wurden in jüngster Zeit offenbar einige zusätzliche Maßnahmen zur Absicherung getroffen, wobei auch diese nach dem Stand der Technik unzureichend sind: "Es sollte angemerkt werden, dass neuere Logdateien und andere persönliche Daten mit einem statischen OpenSSL-Passwort gesichert wurden, so dass zumindest einige der Daten theoretisch zumindest etwas vor neugierigen Augen geschützt wurden".

DJI wollte dem Hacker nach dessen Angaben im Rahmen eines Bug-Bounty-Programms zunächst rund 30.000 US-Dollar zahlen. Doch nach Auseinandersetzungen über ein Verschwiegenheitsabkommen entschied Finisterre sich, seine Erkenntnisse öffentlich zu machen. DJI gestand die Sicherheitsprobleme auch auf Anfrage von The Register ein und arbeitet nach eigenen Angaben mit Sicherheitsexperten zusammen, um die Probleme vollständig zu lösen. Das kompromittierte Zertifikat wurde bereits ausgetauscht.



Anzeige
Top-Angebote
  1. (u. a. DOOM 7,99€, Lords of the Fallen - Game of the Year Edition 3,99€, Dawn of War III 16...
  2. 864,99€ mit Gutschein: Z650 (Vergleichspreis 964,98€)
  3. 199€ für Prime-Mitglieder
  4. 399€ (Vergleichspreis 469€)

uschatko 20. Nov 2017

Grob falsch die Aussage, nur wenn man so dumm war jedes Update mitzumachen oder das Ding...


Folgen Sie uns
       


Dell XPS 13 (9370) - Fazit

Dells neues XPS 13 ist noch dünner als der Vorgänger. Der Nachteil: Es muss auf USB-A und einen SD-Kartenleser verzichtet werden. Auch das spiegelnde Display nervt uns im Test. Gut ist das Notebook trotzdem.

Dell XPS 13 (9370) - Fazit Video aufrufen
Google I/O 2018: Eine Entwicklerkonferenz für Entwickler
Google I/O 2018
Eine Entwicklerkonferenz für Entwickler

Google I/O 2018 Die Google I/O präsentiert sich erneut als Messe für Entwickler und weniger für konventionelle Nutzer. Die Änderungen bei Maps, Google Lens oder News sind zwar nett, spannend wird es aber mit Linux-Apps auf Chromebooks.
Eine Analyse von Tobias Költzsch, Ingo Pakalski und Sebastian Grüner

  1. Google Android P trennt stärker zwischen Privat und Arbeit
  2. Smartwatch Zweite Vorschau von Wear OS bringt neuen Akkusparmodus
  3. Augmented Reality Google unterstützt mit ARCore künftig auch iOS

Projektoren im Vergleichstest: 4K-Beamer für unter 2K Euro
Projektoren im Vergleichstest
4K-Beamer für unter 2K Euro

Bildschirme mit UHD- und 4K-Auflösung sind in den vergangenen Jahren immer preiswerter geworden. Seit 2017 gibt es den Trend zu hoher Pixelzahl und niedrigem Preis auch bei Projektoren. Wir haben vier von ihnen getestet und stellen am Ende die Sinnfrage.
Ein Test von Martin Wolf

  1. Sony MP-CD1 Taschenbeamer mit Akku und USB-C-Stromversorgung
  2. Mirraviz Multiview Splitscreen-Games spielen ohne die Möglichkeit, zu schummeln
  3. Sony LSPX-A1 30.000-Dollar-Beamer strahlt 80 Zoll aus 0 cm Entfernung

Kryptographie: Der Debian-Bug im OpenSSL-Zufallszahlengenerator
Kryptographie
Der Debian-Bug im OpenSSL-Zufallszahlengenerator

Einer der schwerwiegendsten Fehler in der Geschichte der Kryptographie beschäftigte vor zehn Jahren Nutzer der Debian-Distribution. Wenn man danach sucht, findet man noch heute vereinzelt verwundbare Schlüssel.
Von Hanno Böck


      •  /