DJI 드론 사용자 계정탈취 취약점

XSS(cross-site script) 해킹 취약점

중국의 드론 제조사인 DJI의 웹사이트와 클라우드 서비스에 계정 탈취가 가능한 취약점이 있었다. 취약점은 2018.3월에 보안회사 Check Point에 의해 발견돼 통보됐고, DJI는 9월에 조치를 완료했다. 체크포인트의 보고서는 11.8일 발표됐다.

DJI의 사이트는 3개의 서브 도메인으로 구성되어 있다. 계정, 스토어, 게시판을 관리하는 웹 플랫폼, 모바일 앱, 드론 운영을 관리하는 FlightHub가 그것이다. 한번의 로그인으로 이 모두에 접근할 수 있다. 즉 어느 곳에서든 로그인하면 세션 쿠키가 생성되고, 이 쿠키만 있으면 모든 사이트에서 인증되어 데이터에 접근할 수 있다.

접근할 수 있는 데이터는 광범위하고 민감하다. 기본적인 개인 정보는 물론 비행 기록, 클라우드에 동기화되어 저장된 촬영물, 실시간 촬영물 등이 모두 포함된다.

취약점은 포럼 게시물을 통해 XSS(cross-site script) 공격이 가능하다는 점이다. 크로스 사이트 스크립트는 사이트 간에 정보를 교환하는 스크립트로, 입력 필드나 주소창, 링크를 통해 입력되어 쿠키를 탈취하거나 다른 악성 행위를 수행한다. XSS attack은 오래된 수법으로 막기도 쉽다. 사이트 관리의 부주의로 볼 수 있다.

DJI의 쿠키는 XSS로 다른 사람에게 전송될 수 있고, 이 악성 스크립트는 DJI의 포럼 게시물에 링크로 포함시킬 수 있었다. 따라서 DJI 사이트에 로그인된 상태로 게시판의 악성 링크를 클릭할 경우 세션 쿠키가 탈취되는 것이다.

DJI는 이 취약점을 고위험-낮은 가능성으로 평가했다. 로그인한 상태에서 악성 링크를 클릭해야 하기 때문이란 것이다. 어이없는 설명이다. 그게 뭐 드문 경우라고. 또한 실제 악용된 증거는 발견하지 못했다고 밝혔다.

DJI는 미국에서 인프라 시설에 대한 민감한 정보를 중국으로 유출했다는 의혹을 받고 있기도 하다.


참고 자료
  1. Here's How Hackers Could Have Spied On Your DJI Drone Account
  2. The Spy Drone In Your Cloud
  3. DJI Drone Vulnerability
  4. "공격자와 방어자 모두가 따기 쉬운 열매"…XSS 공격의 이해 

댓글

이 블로그의 인기 게시물

엑셀 필터 상태에서 복사와 잘라내기

가정에서도 망 분리를 해보자

잉크젯 프린터 전원은 항상 켜 놓아야 좋다