Drohnenhersteller: DJI vergisst TLS-Schlüssel und Firmwarekeys auf Github

DJI reiht sich ein in die unrühmliche Liste von Unternehmen mit ungeschützten S3-Buckets und privaten Zertifikaten auf Github. Betroffen von dem Leak sind Führerscheindaten, Reisepässe und Logs von Flügen.

Artikel veröffentlicht am ,
Die DJI Mavic Pro
Die DJI Mavic Pro (Bild: Tobias Költzsch/Golem.de)

Der chinesische Drohnenhersteller DJI hat über mehrere Jahre hinweg vertrauliche Informationen in seinem Github-Repository verraten. Unter den Informationen waren ein privates Wildcard-Zertifikat für *.dji.com. Auch zahlreiche Kundeninformationen sollen verraten worden sein - diese allerdings in einem unzureichend gesicherten S3-Bucket.

Stellenmarkt
  1. Automation Engineer - Robotic Process Automation (w/m/d)
    dm-drogerie markt GmbH + Co. KG, Karlsruhe
  2. Wissenschaftlicher Mitarbeiter / Wissenschaftliche Mitarbeiterin (d/m/w)
    THD - Technische Hochschule Deggendorf, Spiegelau
Detailsuche

Angreifer hätten das Wildcard-Zertifikat nutzen können, um legitim aussehende Kopien von DJIs Webseite aufzusetzen. Diese hätten zum Beispiel für eine Phishing-Kampagne genutzt werden können. Außerdem hätte der verschlüsselte Webseitentraffic mitgeschnitten und entschlüsselt werden können.

Gefunden wurden die Informationen vom Sicherheitsforscher Kevin Finisterre in einem Github-Repo von DJI. Neben dem Zertifikat fanden sich dort AWS-Schlüssel für Amazons Cloudinfrastruktur und ein AES-Schlüssel, der angeblich zum Code-Signing genutzt wurde. Seine Ergebnisse hat er in einem 18-seitigen PDF veröffentlicht.

Unverschlüsselte Fluglogs und Ausweiskopien im Netz

Finisterre beschreibt das Ausmaß der veröffentlichten Daten wie folgt: "Ich habe unverschlüsselte Fluglogs gesehen, Scans von Pässen, Führerscheinen und Personalausweisen." Immerhin wurden in jüngster Zeit offenbar einige zusätzliche Maßnahmen zur Absicherung getroffen, wobei auch diese nach dem Stand der Technik unzureichend sind: "Es sollte angemerkt werden, dass neuere Logdateien und andere persönliche Daten mit einem statischen OpenSSL-Passwort gesichert wurden, so dass zumindest einige der Daten theoretisch zumindest etwas vor neugierigen Augen geschützt wurden".

Golem Akademie
  1. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  2. Penetration Testing Fundamentals
    23.-24. September 2021, online
  3. IT-Fachseminare der Golem Akademie
    Live-Workshops zu Schlüsselqualifikationen
Weitere IT-Trainings

DJI wollte dem Hacker nach dessen Angaben im Rahmen eines Bug-Bounty-Programms zunächst rund 30.000 US-Dollar zahlen. Doch nach Auseinandersetzungen über ein Verschwiegenheitsabkommen entschied Finisterre sich, seine Erkenntnisse öffentlich zu machen. DJI gestand die Sicherheitsprobleme auch auf Anfrage von The Register ein und arbeitet nach eigenen Angaben mit Sicherheitsexperten zusammen, um die Probleme vollständig zu lösen. Das kompromittierte Zertifikat wurde bereits ausgetauscht.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Software
Elon Musk verrät Teslas Tricks zur Bewältigung der Chipkrise

Teslas Autos haben viel Elektronik an Bord, doch die Chipkrise scheint dem Unternehmen nichts anzuhaben. Elon Musk erzählt, wie das geschafft wurde.

Software: Elon Musk verrät Teslas Tricks zur Bewältigung der Chipkrise
Artikel
  1. Quartalsbericht: Apple mit 36 Prozent Umsatzwachstum
    Quartalsbericht
    Apple mit 36 Prozent Umsatzwachstum

    Apple verkaufte viel mehr iPhones, iPads, Macs und Zubehör als im letzten Jahr. Der Umsatz stieg um 36 Prozent und auch der Gewinn lässt sich sehen.

  2. Energiespeicher: Tesla nennt Preis für Megapack-Akku mit 3 MWh
    Energiespeicher
    Tesla nennt Preis für Megapack-Akku mit 3 MWh

    Das Tesla Megapack ist ein industrielles Akkusystem mit einer Kapazität von 3 Megawattstunden. Nun wurde der Online-Konfiguratur online gestellt.

  3. Surface: Microsoft patentiert ungewöhnliches Scharnier für Notebooks
    Surface
    Microsoft patentiert ungewöhnliches Scharnier für Notebooks

    Baut Microsoft ein neues Surface-Gerät? Patentgrafiken zeigen zumindest ein bisher unbekanntes Gerät mit einem ungewöhnlichen Scharnier.

uschatko 20. Nov 2017

Grob falsch die Aussage, nur wenn man so dumm war jedes Update mitzumachen oder das Ding...



Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Crucial Ballistix 16GB Kit 3200MHz 66,66€ • PCGH-Gaming-PCs stark reduziert (u. a. PC mit RTX 3060 & Ryzen 5 5600X 1.400€) • Samsung 27" Curved FHD 240Hz 239,90€ • OnePlus Nord CE 5G 128GB 299,49€ • Microsoft Flight Simulator Xbox Series X 69,99€ • 3 für 2 Spiele bei MM [Werbung]
    •  /