• IT-Karriere:
  • Services:

Drohnenhersteller: DJI vergisst TLS-Schlüssel und Firmwarekeys auf Github

DJI reiht sich ein in die unrühmliche Liste von Unternehmen mit ungeschützten S3-Buckets und privaten Zertifikaten auf Github. Betroffen von dem Leak sind Führerscheindaten, Reisepässe und Logs von Flügen.

Artikel veröffentlicht am ,
Die DJI Mavic Pro
Die DJI Mavic Pro (Bild: Tobias Költzsch/Golem.de)

Der chinesische Drohnenhersteller DJI hat über mehrere Jahre hinweg vertrauliche Informationen in seinem Github-Repository verraten. Unter den Informationen waren ein privates Wildcard-Zertifikat für *.dji.com. Auch zahlreiche Kundeninformationen sollen verraten worden sein - diese allerdings in einem unzureichend gesicherten S3-Bucket.

Stellenmarkt
  1. hbz-Hochschulbibliothekszentrum des Landes NRW, Köln
  2. Landratsamt Lörrach, Lörrach

Angreifer hätten das Wildcard-Zertifikat nutzen können, um legitim aussehende Kopien von DJIs Webseite aufzusetzen. Diese hätten zum Beispiel für eine Phishing-Kampagne genutzt werden können. Außerdem hätte der verschlüsselte Webseitentraffic mitgeschnitten und entschlüsselt werden können.

Gefunden wurden die Informationen vom Sicherheitsforscher Kevin Finisterre in einem Github-Repo von DJI. Neben dem Zertifikat fanden sich dort AWS-Schlüssel für Amazons Cloudinfrastruktur und ein AES-Schlüssel, der angeblich zum Code-Signing genutzt wurde. Seine Ergebnisse hat er in einem 18-seitigen PDF veröffentlicht.

Unverschlüsselte Fluglogs und Ausweiskopien im Netz

Finisterre beschreibt das Ausmaß der veröffentlichten Daten wie folgt: "Ich habe unverschlüsselte Fluglogs gesehen, Scans von Pässen, Führerscheinen und Personalausweisen." Immerhin wurden in jüngster Zeit offenbar einige zusätzliche Maßnahmen zur Absicherung getroffen, wobei auch diese nach dem Stand der Technik unzureichend sind: "Es sollte angemerkt werden, dass neuere Logdateien und andere persönliche Daten mit einem statischen OpenSSL-Passwort gesichert wurden, so dass zumindest einige der Daten theoretisch zumindest etwas vor neugierigen Augen geschützt wurden".

DJI wollte dem Hacker nach dessen Angaben im Rahmen eines Bug-Bounty-Programms zunächst rund 30.000 US-Dollar zahlen. Doch nach Auseinandersetzungen über ein Verschwiegenheitsabkommen entschied Finisterre sich, seine Erkenntnisse öffentlich zu machen. DJI gestand die Sicherheitsprobleme auch auf Anfrage von The Register ein und arbeitet nach eigenen Angaben mit Sicherheitsexperten zusammen, um die Probleme vollständig zu lösen. Das kompromittierte Zertifikat wurde bereits ausgetauscht.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (u. a. Intel Core i3-10300 tray für 109,90€ + 6,99€ Versand und RAM-Module von G.Skill...
  2. 399€ (Bestpreis)
  3. (u. a. Dark Souls 3 - Digital Deluxe Edition für 14,49€, Civilization VI - Gathering Storm...

uschatko 20. Nov 2017

Grob falsch die Aussage, nur wenn man so dumm war jedes Update mitzumachen oder das Ding...


Folgen Sie uns
       


Demon's Souls Remake (PS5) - Fazit

Im Testvideo stellt Golem.de das Remake des epischen Fantasy-Rollenspiels Demon's Souls für die Playstation 5 vor.

Demon's Souls Remake (PS5) - Fazit Video aufrufen
Google vs. Oracle: Das wichtigste Urteil der IT seit Jahrzehnten
Google vs. Oracle
Das wichtigste Urteil der IT seit Jahrzehnten

Der Prozess Google gegen Oracle wird in diesem Jahr enden. Egal welche Seite gewinnt, die Entscheidung wird die IT-Landschaft langfristig prägen.
Eine Analyse von Sebastian Grüner


    Notebook-Displays: Tschüss 16:9, hallo 16:10!
    Notebook-Displays
    Tschüss 16:9, hallo 16:10!

    Endlich schwenken die Laptop-Hersteller auf Displays mit mehr Pixeln in der Vertikalen um. Das war überfällig - ist aber noch nicht genug.
    Ein IMHO von Marc Sauter

    1. Microsoft LTE-Laptops für Schüler kosten 200 US-Dollar
    2. Galaxy Book Flex2 5G Samsungs Notebook unterstützt S-Pen und 5G
    3. Expertbook B9 (B9400) Ultrabook von Asus nutzt Tiger Lake und Thunderbolt 4

    Azure Active Directory: Weniger Verzeichnisdienst, mehr Tresor
    Azure Active Directory
    Weniger Verzeichnisdienst, mehr Tresor

    Microsofts bekannten Verzeichnisdienst Active Directory gibt es inzwischen auch in der Cloud des Herstellers. Golem.de zeigt, wie er dort funktioniert.
    Von Martin Loschwitz

    1. Microsoft Neue Datenschutzregeln für Sprachsteuerung
    2. Microsoft Betrüger erbeuten 20.000 Euro von Rentnerin
    3. Windows 10 20H2 Microsoft hebt Update-Sperre für einige Windows-PCs auf

      •  /