Teknologia

Suomen poliisin käyttämistä suosituista kuvauskoptereista löytyi haavoittuvuus – samoja koptereita käytössä tavallisilla kuluttajilla ja yrityksillä

Markkinajohtaja DJI:n kuvauskopterien eli dronejen pilvipalveluiden rakenteissa oli haavoittuvuus, joka on voinut paljastaa niin luottokorttitiedot kuin reaaliaikaisen lentodatan.

Kuvauskopterivalmistaja DJI:n käyttämistä alustoista on löytynyt haavoittuvuus, joka on muodostanut uhan miljoonien käyttäjien tiedoille.

Kiinalainen DJI on kaupallisten kuvauskopterien markkinajohtaja, jonka markkinaosuus kaikista maailmassa myydyistä kuvauskoptereista on tutkimusyhtiö Skylogicin mukaan huimat 74 prosenttia.
Mainos (Teksti jatkuu alla)
Mainos päättyy

DJI:n koptereita myydään paljon myös Suomessa – paitsi kuluttajille, myös yrityksille ja viranomaisille.

Suomen poliisilla on käytössä 130 kuvauskopteria eri laitoksilla ympäri Suomen. Niistä lähes kaikki ovat DJI:n laitteita.
Mainos (Teksti jatkuu alla)
Mainos päättyy

Haavoittuvuus löytyi DJI-kopterien käyttäjille tarkoitetun DJI Forumin tunnistautumisjärjestelmästä. Hyökkäyksille altis kohta liittyi siihen, että DJI:n alustat käyttivät samaa tunnistetta liittääkseen rekisteröityneet käyttäjät järjestelmän eri osa-alueisiin.

Potentiaalisessa vaarassa olivat DJI:n asiakkaat, jotka ovat synkronoineet pienoiskopteriensa lentoja koskevat tiedot, mukaan lukien valokuvat, videot ja lentoreitit, DJI:n pilvipalvelimelle, sekä yritysasiakkaat, joka käyttävät DJI:n FlightHub -ohjelmistoa, joka sisältää reaaliaikaisen kamera-, ääni- ja karttanäkymän.

Keskustelufoorumissa oli haavoittuvuus, joka mahdollisti käyttäjien tietojen ja heidän DJI:n pilvipalveluille jakamiensa tietojen varastamisen. Tämä oli mahdollista, koska DJI käytti kaikissa tarjoamissaan palveluissa samaa käyttäjäkohtaista tunnistetta. Väärin käytettynä hyökkääjällä oli pääsy reaaliaikaisiin kuvauskopterien lentotietoihin ja -näkymiin, kuviin joita kopterin käyttäjä otti ja talletti, sekä luottokorttitietoihin mikäli käyttäjä oli ne DJI:n palveluihin antanut.
Mainos (Teksti jatkuu alla)
Mainos päättyy

”Hyökkääjä” oli tässä tapauksessa israelilainen Check Point -tietoturvayhtiö maaliskuussa 2018. Yhtiö raportoi löytönsä DJI:lle. Nyt haavoittuvuus on jo korjattu, ja Check Pointin mukaan mikään ei ole viitannut siihen, että haavoittuvuutta olisi käytetty hyväksi.

Suomen poliisin kopteritiedot ovat turvassa, sanoo ylikomisario Sami Hätönen poliisihallituksesta.

”Pilvipalveluihin liittyvät riskit tiedostettiin onneksi jo silloin, kun dronet otettiin käyttöön. Niitä ei ole synkroroitu DJI:n pilveen ollenkaan”, Hätönen sanoo HS:lle.
Mainos (Teksti jatkuu alla)
Mainos päättyy

”Vaikka muuten poliisin toiminnan lähtökohta on toimia julkisesti, tähän on poikkeuksia. Jos poliisilla on tehtävä, joka pitää operatiivisista syistä pitää salassa, emme edes käytä kaupallisen valmistajan droneja.”

Tällaisissa tapauksissa poliisi pyytää ja saa virka-apua rajavartiolaitokselta ja puolustusvoimilta, joilla on eri valmistajien laitteet.
Mainos (Teksti jatkuu alla)
Mainos päättyy

”Se mitä DJI:n pilveen tallentuu, on yksittäisiä matalaresoluutioisia kuvatiedostoja ja lentodataa. Harrastajille palvelu on hyvinkin kätevä, mutta töissä me emme käytä sitä ollenkaan.”

Hätönen kertoo, että ohjeistus on sama kaikilla poliisilaitoksilla, joissa kuvauskoptereita on käytössä. Kuvauskopterien käyttäjät on koulutettu ottamaan riskit huomioon.

Hätösen mukaan lähes kaikki Suomen poliisin käyttämät kuvauskopterit ovat DJI:n valmistamia.

”Vaikka kuinka mainostajat mainostavat pilvipalveluiden turvallisuutta, tämä riski on aina olemassa kun tiedot ovat jossain ulkoisessa palvelussa. Se riski on, että joku muukin pääsee niihin käsiksi.”

DJI:n foorumin haavoittuvuus oli XSS-tyyppinen, kertoo Check Point tiedotteessaan. Lyhenne XSS tulee sanoista cross site scripting. Siitä käytettiin aluksi lyhennettä CSS, mutta CSS tarkoittaa erästä verkkodokumenteille tarkoitettua tyyliohjeiden lajia.

Haavoittuvuuksia on paikallisia ja ei-paikallisia, joista paikalliset liittyvät verkkosivujen oman koodin puutteisiin. Puutteiden johdosta hyökkääjä voi päästä käsiksi verkkosivuilla liikkuneeseen informaatioon.

Ei-paikallinen tai väliaikainen XSS-haavoittuvuus ei ole ylläpitäjän palvelimella, mutta mahdollistaa sen, että väärennetty linkki toimii käyttäjän selaimessa kuten oikea.

XXS-haavoittuvuudet verkkosivuilla ovat perin yleisiä. Viisi vuotta sitten niiden etsimiseen erikoistunut tamperelainen tietoturva-asiantuntija Janne Ahlberg arvioi, että niitä voisi olla jopa 60 prosentissa sivuja.

Kommentit

    Ei vielä kommentteja. Kirjoita ensimmäinen.

    Näytä lisää
    Luetuimmat
    • Juuri nyt
    • Päivä
    • Viikko
    1. 1

      Autoja hyytynyt pakkaseen kolminkertainen määrä tavalliseen päivään verrattuna – Autoliitto: Muista tärkeät toimenpiteet ennen käynnistystä

    2. 2

      Matkustaja kaappasi lentokoneen Venäjällä – HS seuraa

    3. 3

      Netflixin uutuusdokumentti paljastaa ruman totuuden Fyre-festivaalista, yhdestä 2010-luvun suurimmasta huijauksesta – ihmiset uskoivat loppuun asti silkkaan valheeseen

    4. 4

      Yliäänipommikone putosi Kuolan niemimaalla, kaksi kuoli

    5. 5

      400-vuotiaasta tammesta irtoilee valtavia karahkoja Espoossa ja enää puolet on jäljellä – Virkamiehet: ”Puuta ei kaadeta”

    6. 6

      50-vuotias nainen löytyi surmattuna Kirkkonummella – Epäiltynä pari päivää ennen tapahtunutta naapuriin muuttanut mies

    7. 7

      Näistä povataan tämän vuoden hittidieettejä – toisessa keho polttaa täysillä rasvaa ja paino putoaa nopeasti, mutta ruokavalio voi myös vahingoittaa suolistoa

      Tilaajille
    8. 8

      Tolkuttomat ohjeet ylen­palttisesta veden­juonnista levisivät Suomenkin mediassa, mikä on hämmentävää

    9. 9

      Asukas liukastui jäisellä pihalla, ja autoon tuli lommo – Korvaako vakuutus?

    10. 10

      Eroa haluava helsinkiläispariskunta joutuu jatkamaan avioliitossa vastoin tahtoaan – Ero­prosessi raukesi käräjäoikeuden virheen vuoksi

    11. Näytä lisää
    1. 1

      Vältä tätä yleistä toimintatapaa sängyssä – sen lopettaminen voi johtaa parempaan seksiin kuin aikoihin

    2. 2

      Kuka nousi kukkulalle Korsossa? Aamos Vesaikko etsii ihmistä, jonka hän näki kaukoputkellaan 15 kilometrin päästä Pohjois-Haagasta

    3. 3

      Nainen synnytti bussipysäkillä Helsingin Käpylässä – ”Mies sanoi rauhallisesti, että nyt alkoi synnytys”

    4. 4

      Internetissä huomattiin, ettei oikein kukaan osaa piirtää oikein kirjainta ”x” – Tieteen nimissä: kerro, miten sinä piirrät omasi

    5. 5

      Viisi vuotta sitten Kaisa kirjoitti kirjeen, sitten hän yritti tappaa itsensä – Nyt hän kertoo, mikä lopetti loputtomalta tuntuneen pimeyden ja miten muutkin voisivat ehkä selvitä

    6. 6

      Näin meidät huijattiin juomaan vaikka ei ole jano – liika juominen on vaarallista urheilussa, ja muillekin se on turhaa

      Tilaajille
    7. 7

      Suosittu taiwanilainen ”bikini­kiipeilijä” Gigi Wu kuoli paleltumiseen pudottuaan ensin vuorelta

    8. 8

      Suomen suosituin radiotiimi hajoaa – ”Juhan mukaantulo kahdeksan vuotta sitten oli vahinko”, sanoo ohjelmapäällikkö

    9. 9

      Monilla on piilolinssien vaurioittamat silmät, eivätkä he tiedä sitä itse – yhtä piilolinssityyppiä asiantuntija ei suosittele kenellekään

      Tilaajille
    10. 10

      Helsingin Isolta Roobertinkadulta löytyi luvaton salahotelli, väittää rakennusvalvonta – Osakas: ”Huippu­hinnan” asunnoistaan maksaneet kärsivät

    11. Näytä lisää
    1. 1

      Nämä sanat kannattaisi sanoa monelle vanhemmalle, vaikka minut ne saivatkin itkemään

    2. 2

      Pilapiirtäjä Ville Ranta teki piirroksen Oulun seksuaali­rikoksista ja sohaisi muurahais­pesään – Facebook jäädytti tilin, mutta se ei Rantaa hetkauta, sillä hän ei ole ensi kertaa asialla

    3. 3

      Keskellä Helsinkiä on talo, jonka lattian alta paljastui aikakapseli täynnä 300 vuoden takaista elämää

    4. 4

      Autoista tuli niin hyviä, että kuljettajien ajotaidot romahtivat – tämä perusasia unohtuu monelta ja talvella sen kuulee lähes joka risteyksessä

    5. 5

      Kampaaja Petri Puhakka joi itsensä väsyksiin, haki voimaa amfetamiinista, vihasi itseään peilin edessä ja joi lisää – Sitten esimies sanoi oikeat sanat

      Tilaajille
    6. 6

      Tältä näyttää Redi arkisena aamu­päivänä – Yrittäjät kertovat, miltä kauppa­keskuksen tilanne vaikuttaa nyt

    7. 7

      Tällainen on kahdeksan lapsen hyväksikäyttö­tapaus: Kalliolaismies saalisti tyttöjä Instagramissa – Tuomittu pyysi 14-vuotiasta tyttöä vaikenemaan seksistä

    8. 8

      Näin meidät huijattiin juomaan vaikka ei ole jano – liika juominen on vaarallista urheilussa, ja muillekin se on turhaa

      Tilaajille
    9. 9

      Ruokavalioista tuli niin tiukkoja, että ihmiset alkoivat syödä väärin – nyt nousee yksinkertainen dieetti, jonka asiantuntija soisi syrjäyttävän kaikki muut

      Tilaajille
    10. 10

      Nainen synnytti bussipysäkillä Helsingin Käpylässä – ”Mies sanoi rauhallisesti, että nyt alkoi synnytys”

    11. Näytä lisää