Юния Валенте (Junia Valente) обратила внимание на полное отсутствие защиты (CVE-2017-3209) в квадрокоптерах компании DBPOWER, оснащённых HD-камерой и встроенной точкой беспроводного доступа. Устройство создавало открытую WiFi-сеть, подключившись к которой можно не только перехватить снимаемый камерой видеопоток, но и получить полный доступ к SD-карте устройства, в том числе к системным файлам и сохранённым видео- и фото-материалам.

Для атаки достаточно подключиться к предоставляемой устройством публичной беспроводной сети и зайти на устройство по FTP, который поддерживает анонимный вход без пароля. Предоставляемый по FTP анонимный доступ осуществляется под пользователем root и позволяет изменять системные файлы. Например, показано, как можно при помощи команды "curl -T shadow ftp://192.168.0.1:21/etc/jffs2/shadow" записать на устройства собственный файл /etc/shadow с хэшем пароля, зайти по telnet под пользователем root и захватить управление над летающим поблизости квадрокоптером.

Проблема подтверждена в модели DBPOWER UDI U818A и аналогичных устройствах, выпускаемых под другими брендами, такими как Force1 UDI U818A, USA Toyz UDI U818A и Udirc Discovery U818A. Разбирательство показало, что все эти устройства основаны на одном прототипе и выпускаются по контракту с китайской компанией Udi RC Toys Co. Ltd. В США модель U818A продаётся по цене в районе $100, в то время как в Китае розничная цена устройства составляет около $30.

Выявившие уязвимость исследователи считают, что проблема охватывает значительно больше различных квадрокоптеров, управление которыми производится через мобильное приложение. Вывод основан на том, что из около 20 изученных мобильных приложений от различных производителей 13 отправляли похожие запросы на открытые сетевые порты, а 10 подошли для управления дронами, имевшимися в распоряжении исследователей.

Источник: http://www.opennet.ru/opennews/art.shtml?num=46501