Een beveiligingslek in een wifi-drone die over een camera beschikt en waarmee opnames vanuit de lucht kunnen worden gemaakt kan een aanvaller toegang tot videobeelden en andere bestanden geven. De kwetsbaarheid is aanwezig in de DBPOWER U8181A wifi-quadcopter. De drone beschikt over een niet gedocumenteerde ftp-server die via het lokale wifi-netwerk van de drone voor iedereen toegankelijk is.
De ftp-server laat gebruikers namelijk zonder wachtwoord inloggen en biedt volledige schrijf- en leesrechten voor anonieme ingelogde gebruikers. Via de ftp-toegang kan een gebruiker in de buurt van de drone willekeurige bestanden lezen, zoals videobeelden en foto's. Ook is het mogelijk om systeembestanden te vervangen en zo verdere toegang tot het apparaat te krijgen. Vooralsnog is er geen oplossing voor het probleem, zo meldt het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit. De U8181A is één van de best verkopende drones op Amazon.
Deze posting is gelocked. Reageren is niet meer mogelijk.