Teknologia

Suomen poliisin käyttämistä suosituista kuvauskoptereista löytyi haavoittuvuus – samoja koptereita käytössä tavallisilla kuluttajilla ja yrityksillä

Markkinajohtaja DJI:n kuvauskopterien eli dronejen pilvipalveluiden rakenteissa oli haavoittuvuus, joka on voinut paljastaa niin luottokorttitiedot kuin reaaliaikaisen lentodatan.

Kuvauskopterivalmistaja DJI:n käyttämistä alustoista on löytynyt haavoittuvuus, joka on muodostanut uhan miljoonien käyttäjien tiedoille.

Kiinalainen DJI on kaupallisten kuvauskopterien markkinajohtaja, jonka markkinaosuus kaikista maailmassa myydyistä kuvauskoptereista on tutkimusyhtiö Skylogicin mukaan huimat 74 prosenttia.
Mainos (Teksti jatkuu alla)
Mainos päättyy

DJI:n koptereita myydään paljon myös Suomessa – paitsi kuluttajille, myös yrityksille ja viranomaisille.

Suomen poliisilla on käytössä 130 kuvauskopteria eri laitoksilla ympäri Suomen. Niistä lähes kaikki ovat DJI:n laitteita.
Mainos (Teksti jatkuu alla)
Mainos päättyy

Haavoittuvuus löytyi DJI-kopterien käyttäjille tarkoitetun DJI Forumin tunnistautumisjärjestelmästä. Hyökkäyksille altis kohta liittyi siihen, että DJI:n alustat käyttivät samaa tunnistetta liittääkseen rekisteröityneet käyttäjät järjestelmän eri osa-alueisiin.

Potentiaalisessa vaarassa olivat DJI:n asiakkaat, jotka ovat synkronoineet pienoiskopteriensa lentoja koskevat tiedot, mukaan lukien valokuvat, videot ja lentoreitit, DJI:n pilvipalvelimelle, sekä yritysasiakkaat, joka käyttävät DJI:n FlightHub -ohjelmistoa, joka sisältää reaaliaikaisen kamera-, ääni- ja karttanäkymän.

Keskustelufoorumissa oli haavoittuvuus, joka mahdollisti käyttäjien tietojen ja heidän DJI:n pilvipalveluille jakamiensa tietojen varastamisen. Tämä oli mahdollista, koska DJI käytti kaikissa tarjoamissaan palveluissa samaa käyttäjäkohtaista tunnistetta. Väärin käytettynä hyökkääjällä oli pääsy reaaliaikaisiin kuvauskopterien lentotietoihin ja -näkymiin, kuviin joita kopterin käyttäjä otti ja talletti, sekä luottokorttitietoihin mikäli käyttäjä oli ne DJI:n palveluihin antanut.
Mainos (Teksti jatkuu alla)
Mainos päättyy

”Hyökkääjä” oli tässä tapauksessa israelilainen Check Point -tietoturvayhtiö maaliskuussa 2018. Yhtiö raportoi löytönsä DJI:lle. Nyt haavoittuvuus on jo korjattu, ja Check Pointin mukaan mikään ei ole viitannut siihen, että haavoittuvuutta olisi käytetty hyväksi.

Suomen poliisin kopteritiedot ovat turvassa, sanoo ylikomisario Sami Hätönen poliisihallituksesta.

”Pilvipalveluihin liittyvät riskit tiedostettiin onneksi jo silloin, kun dronet otettiin käyttöön. Niitä ei ole synkroroitu DJI:n pilveen ollenkaan”, Hätönen sanoo HS:lle.
Mainos (Teksti jatkuu alla)
Mainos päättyy

”Vaikka muuten poliisin toiminnan lähtökohta on toimia julkisesti, tähän on poikkeuksia. Jos poliisilla on tehtävä, joka pitää operatiivisista syistä pitää salassa, emme edes käytä kaupallisen valmistajan droneja.”

Tällaisissa tapauksissa poliisi pyytää ja saa virka-apua rajavartiolaitokselta ja puolustusvoimilta, joilla on eri valmistajien laitteet.
Mainos (Teksti jatkuu alla)
Mainos päättyy

”Se mitä DJI:n pilveen tallentuu, on yksittäisiä matalaresoluutioisia kuvatiedostoja ja lentodataa. Harrastajille palvelu on hyvinkin kätevä, mutta töissä me emme käytä sitä ollenkaan.”

Hätönen kertoo, että ohjeistus on sama kaikilla poliisilaitoksilla, joissa kuvauskoptereita on käytössä. Kuvauskopterien käyttäjät on koulutettu ottamaan riskit huomioon.

Hätösen mukaan lähes kaikki Suomen poliisin käyttämät kuvauskopterit ovat DJI:n valmistamia.

”Vaikka kuinka mainostajat mainostavat pilvipalveluiden turvallisuutta, tämä riski on aina olemassa kun tiedot ovat jossain ulkoisessa palvelussa. Se riski on, että joku muukin pääsee niihin käsiksi.”

DJI:n foorumin haavoittuvuus oli XSS-tyyppinen, kertoo Check Point tiedotteessaan. Lyhenne XSS tulee sanoista cross site scripting. Siitä käytettiin aluksi lyhennettä CSS, mutta CSS tarkoittaa erästä verkkodokumenteille tarkoitettua tyyliohjeiden lajia.

Haavoittuvuuksia on paikallisia ja ei-paikallisia, joista paikalliset liittyvät verkkosivujen oman koodin puutteisiin. Puutteiden johdosta hyökkääjä voi päästä käsiksi verkkosivuilla liikkuneeseen informaatioon.

Ei-paikallinen tai väliaikainen XSS-haavoittuvuus ei ole ylläpitäjän palvelimella, mutta mahdollistaa sen, että väärennetty linkki toimii käyttäjän selaimessa kuten oikea.

XXS-haavoittuvuudet verkkosivuilla ovat perin yleisiä. Viisi vuotta sitten niiden etsimiseen erikoistunut tamperelainen tietoturva-asiantuntija Janne Ahlberg arvioi, että niitä voisi olla jopa 60 prosentissa sivuja.

    Seuraa uutisia tästä aiheesta

  • Teknologia
  • Dronet
  • Tietoturva
  • Poliisi
  • Laura Halminen

Kommentit

    Ei vielä kommentteja. Kirjoita ensimmäinen.

    Näytä lisää
    Luetuimmat
    • Juuri nyt
    • Päivä
    • Viikko
    1. 1

      Kun kumppani tulee raskaan työpäivän jälkeen kotiin ja räjähtää, häntä kannattaa lähestyä tunteella

    2. 2

      Suomalainen kehitti 44 vuotta sitten tekniikan, jota ilman elektroniikan pieneneminen ei olisi ollut mahdollista – Vihdoin myös voittoja päätyy Suomeen

    3. 3

      Olli Kopra, 26, rakastaa vieterilelujaan, mutta kynsien leikkaamisesta hän ei pidä – Vanhempien mielestä tässä on ongelma: kehitysvammaisella pojalla on liikaa oikeuksia

      Tilaajille
    4. 4

      Huippuyliopiston tutkimus selvitti, mikä on paras tapa pitää paino kurissa laihduttamisen jälkeen – vähähiilihydraattinen tulos aiheutti heti kohun

      Tilaajille
    5. 5

      Ivanka Trump käytti omaa sähköpostiaan hallinnon asioiden hoitamiseen – presidentti-isän mukaan asiaa ei voi mitenkään verrata Hillary Clintoniin

    6. 6

      Sipoon kunta sai tarpeekseen Sipoon­rannan ongelmista: Osa alueesta palautumassa kunnalle joutomaana

    7. 7

      Kriitikot vihasivat, kansa rakasti – menestysyhtye Totoa on pidetty rockin vastakohtana, ja Steve Lukather sai ivasta tarpeekseen

    8. 8

      Ex-gangsteri ammuttiin Kööpenhaminassa, kun hän poistui elämä­kertansa julkaisu­tilaisuudesta

    9. 9

      Helsingin keskuskirjasto Oodi aukeaa kahden viikon kuluttua, ja hyllyt täyttyvät jo vauhdilla – Palautuksista huolehtivat robotit, jotka väistelevät asiakkaita, ajavat itse hissillä ja pian ehkä jo hyllyttävät itse

    10. 10

      Keskitien kulkija keskilännestä, liberaali Kaliforniasta vai mies, jonka kaikki tuntevat? Spekulaatio Trumpin haastajasta käy kuumana jo nyt

    11. Näytä lisää
    1. 1

      Asiantuntijat pelkäävät, että kauppa­keskus Redi on väärässä paikassa – HS pyysi arvioita, miten Kalasataman kauppa­keskus selviäisi alku­vaikeuksistaan

      Tilaajille
    2. 2

      Hissin kaapeli katkesi chicagolaisessa pilvenpiirtäjässä ja matkustajat syöksyivät 84 kerrosta alaspäin – selvisivät säikähdyksellä

    3. 3

      Valtava huumetakavarikko Helsingissä – Poliisi pääsi kansainvälisen liigan jäljille, kun iso hormonilähetys meni vahingossa väärään osoitteeseen

    4. 4

      Kylmähermoinen asiakas sekoitti ryöstäjän suunnitelmat – Naamiomies jäi kiinni verekseltään Keravalla

    5. 5

      Teknologia­jättien pörssi­syöksy syvenee – Mistä Googlen, Facebookin ja kumppanien ala­mäessä on kyse?

    6. 6

      Sipoon kunta sai tarpeekseen Sipoon­rannan ongelmista: Osa alueesta palautumassa kunnalle joutomaana

    7. 7

      Hissionnettomuus Helsingissä: Mies puristui hengiltä Porvoon­kadulla

    8. 8

      Asemiehet tunkeutuivat toimistoon Mannerheimintiellä ja vaativat yrittäjältä 20 000 euroa – Uhri ja poliisi järjestivät väijytyksen, rikolliset saatiin tuomiolle

    9. 9

      Ex-gangsteri ammuttiin Kööpenhaminassa, kun hän poistui elämä­kertansa julkaisu­tilaisuudesta

    10. 10

      Onko netin keskustelukulttuuri rikki? Näin feministi ja transaktiivi osoittaa sanansa valkoiselle heteromiehelle

    11. Näytä lisää
    1. 1

      Tutkimus paljastaa: Koulujen uudet menetelmät heikentävät oppimista merkittävästi

    2. 2

      Puurokattila liedellä kertoi, että asunnosta oli lähdetty vauhdilla – Sina Varheen tytär katosi, ja seuraavien kuukausien jäljet seuraavat äitiä läpi elämän

      Tilaajille
    3. 3

      Paniikkia, konkurssien pelkoa ja lähtöaikeita – Kauppakeskus Redin asiakaskato ajaa yrittäjiä ahdinkoon

    4. 4

      Tällainen on Suomi: Kun Trump kertoi uskomattoman väitteen Pohjolan metsänhoidosta, suomalaiset lähtivät metsään haravoimaan ja imuroimaan

    5. 5

      Täti innostui sukututkimuksesta, ja niin Leenakin teki dna-testin – Kun tulokset tulivat, eletty elämä osoittautui valheeksi

      Tilaajille
    6. 6

      Kuvia Suomesta, osa 39: Rio Gandara kuvasi, mitä tekevät ihmiset, jotka eivät saa öisin unta

    7. 7

      Kun nuoret äidit haksahtavat ravitsemusgurujen hölynpölyyn, kärsijöitä ovat lapset – Näin sanoo ravitsemusterapeutti Reijo Laatikainen ja oikoo verkon vallanneita harhaluuloja yksi kerrallaan

      Tilaajille
    8. 8

      Euroopassa raivoaa sota, jonka keskellä ihmiset käyvät oopperassa ja asuvat bunkkereissa – HS:n erikoisartikkeli vie Itä-Ukrainan sodan molemmille puolille

    9. 9

      Peltipoliisin ylinopeus­sakoista luistaminen voi johtaa etsintä­kuulutukseen: Malmin poliisi­taloon saapuneesta naisesta ei tullut yhtä 1 800 etsintä­kuulutetusta – hän löi poliisit ällikällä

    10. 10

      Uni oli pelottava, ja siinä kuusivuotias Patrick Tiainen rakasti poikaa – Tiainen nousi karismaattisen seurakunnan johtoon, uskoi Jumalan eheyttävän hänet ja myönsi lopulta, että uni oli totta

      Tilaajille
    11. Näytä lisää
    Uusimmat
    1. Juuri nyt
    2. Valkoisen talon kirjeenvaihtajaillallisella esiintyy ensi keväänä koomikon sijaan historioitsija – Myös Trump harkitsee osallistuvansa ensi kertaa
    3. Tapiolan hiljainen sankariteko: Puutarhurit pelastivat kaikessa hiljaisuudessa puutarhakaupunginosan symboleiksi nousseet 200-vuotiaat männyt
    4. Kansojen liigan alkulohkot saatiin päätökseen – tämä nelikko haastaa Huuhkajat pudotuspeleissä
    5. Löytääkö uusi Mars-laskeutuja vastauksia? Ensi viikolla Marsiin saapuvalla InSightilla on yksi edeltäjistään poikkeava ominaisuus, ja näin alus se toimii Tilaajille
    6. Ivanka Trump käytti omaa sähköpostiaan hallinnon asioiden hoitamiseen – presidentti-isän mukaan asiaa ei voi mitenkään verrata Hillary Clintoniin
    7. Kriitikot vihasivat, kansa rakasti – menestysyhtye Totoa on pidetty rockin vastakohtana, ja Steve Lukather sai ivasta tarpeekseen
    8. Päävalmentaja Marko Saloranta otti vastuun Suomen tyttöjen MM-kisapettymyksestä: ”Luonnollisesti suurin syyllinen istuu tässä”
    9. Helsingin keskuskirjasto Oodi aukeaa kahden viikon kuluttua, ja hyllyt täyttyvät jo vauhdilla – Palautuksista huolehtivat robotit, jotka väistelevät asiakkaita, ajavat itse hissillä ja pian ehkä jo hyllyttävät itse
    10. Kiinalaisista soutajista tehdään Suomessa hiihtäjiä – valmennukseen kuuluu myös kasvatus ehjäksi aikuiseksi: ”Kiina nousee maailman huipulle, jos niin päättävät”
    11. Veikkauksen Velipekka Nummikoski ja monopolin purkamista kannattava Mikko Kiesiläinen ottivat yhteen HS:n väittelyssä – samaa mieltä kaksikko oli vain yhdestä asiasta
    12. Näytä lisää