XSS、Cookie設定の脆弱性を利用した攻撃手法

ドローン管理システムの複数の脆弱性を利用してユーザー情報の窃取が可能でした。セキュリティベンダーCheck Point社のレポートが公開されています。XSSやCookie設定の不備といった脆弱性がどのように利用され得るか、具体的に解説しています。

DJI Drone Vulnerability Research by: Oded Vanun, Dikla Barda and Roman Zaikin
https://research.checkpoint.com/dji-drone-vulnerability/

ドローンメーカーのDJI社のウェブアプリケーションから、他人のユーザーアカウントを乗っ取り、フライトレコード、位置情報、ビデオカメラのフィード、写真などの機微情報を取得可能でした。

アカウント乗っ取りのプロセスは、DJIのウェブサイトに存在するユーザー向けフォーラムから始まります。フォーラムにはXSS(クロスサイトスクリプティング)攻撃を許す脆弱性があり、さらにCookieにhttponly属性とsecure属性が付与されていませんでした。これにより、フォーラム攻撃用のJavascriptを挿入し、そのスクリプトでログインCookieを盗むことが可能になっていました。
攻撃用のペイロードを仕込んだリンクをフォーラムに投稿し、ユーザーがリンクにアクセスすると、ログイン情報がハッカーに渡ります。

ウェブアプリケーションの脆弱性に加え、DJIのモバイルアプリにはSSLピンニングをバイパスできる脆弱性が存在し、中間者攻撃が可能でした。

一度ログインCookieを入手してしまえば、DJIのウェブアカウント、モバイルアプリケーション、管理プラットフォームのアカウントを乗っ取ることが可能でした。

Check Point社のリサーチチームは、この脆弱性を「高リスクではあるものの、悪用される可能性は低い」としています。ユーザーがアカウントにログインした状態で特定のリンクをクリックしなければ攻撃が成功しないためです。