Ключи SSL-сертификата производителя дронов DJI обнаружены в открытом доступе

Ключи цифрового сертификата для сайта китайского производителя дронов DJI в течение четырех лет находились в открытом доступе. Имея в своем распоряжении ключи SSL-сертификата dji.com, злоумышленники могут подделать сайт компании, подписать его с помощью легитимного сертификата и незаметно перенаправлять пользователей на вредоносные загрузки путем стандартной атаки «человек посередине». Злоумышленники также могут использовать ключи для расшифровки трафика, передаваемого с/на сервер.

Закрытый ключ SSL-сертификата был обнаружен исследователем Кевином Финистерре (Kevin Finisterre) в открытом репозитории DJI на GitHub. Кроме того, там же находились учетные данные для авторизации в AWS и ключи шифрования AES прошивки. В открытом хранилище AWS S3 Финистерре обнаружил в незашифрованном виде такую конфиденциальную персональную информацию, как логи полетов, данные паспортов, водительских прав и идентификационных карт. Правда, более новые логи и персональные данные были зашифрованы с использованием статического пароля OpenSSL. DJI отозвала проблемный сертификат и в сентябре нынешнего года выпустила новый.

Напомним, в августе 2017 года Армия США из соображений безопасности отказалась от использования дронов производства DJI. В 2016 году DJI согласилась предоставлять полученные со своих дронов данные властям КНР.