FTP-lek in WIFI-drone biedt aanvaller toegang tot videobeelden
Een beveiligingslek in een WIFI-drone die is uitgerust met een camera en opnames maakt vanuit de lucht biedt een aanvaller de mogelijkheid om toegang te krijgen tot de videobeelden evenals andere bestanden.
De kwetsbaarheid is vastgesteld in de zogenaamde DBPOWER U8181A WIFI-quadcopter. Deze drone is uitgerust met een niet gedocumenteerde FTP-server die middels het lokale WIFI-netwerk van het toestel voor iedereen toegankelijk is.
Toegang tot foto’s en video’s
De FTP-server biedt gebruikers dan ook de mogelijkheid om zonder het moeten ingeven van een wachtwoord in te loggen. Daarnaast worden er volledige schrijf- en leesrechten toegekend aan anoniem ingelogde gebruikers. Door gebruik te maken van de FTP-toegang is het voor gebruikers mogelijk om in de buurt van de drone willekeurige bestanden te lezen. Het kan hierbij niet alleen gaan om foto’s, maar tevens ook om video’s die door het toestel zijn gemaakt. Daarnaast is het mogelijk om de systeembestanden aan te passen waardoor er verdere toegang tot het toestel kan worden verkregen.
Eén van de best verkopende drones
Tot dusver bestaat er nog geen oplossing voor het probleem. Dit wordt gemeld door het CERT Coordination Center van de Carnegie Mellon Universiteit. Pittig detail, de U8181A is bij onder meer Amazon één van de best verkopende drones.