De onderzoekers hebben hun bevindingen gedeeld met DJI via het Bug Bounty-programma. Check Point legt in zijn rapport uit hoe de onderzoekers toegang hebben kunnen krijgen tot de gegevens door een token van DJI (dat wordt gebruikt om geregistreerde gebruikers te identificeren) te misbruiken.

De onderzoekers konden zo bij vluchtgegevens, waaronder foto's video's, vluchtlogboeken en, in het geval van zakelijke gebruikers, live camera, audio- en kaartweergave.

Gepatcht

"We juichen de expertise toe die Check Point-onderzoekers hebben getoond met de openbaarmaking van een mogelijk kritieke kwetsbaarheid", zegt Mario Rebello, Vice President en Country Manager, Noord-Amerika bij DJI. "Dit is precies de reden waarom DJI het Bug Bounty-programma heeft opgezet. Alle technologiebedrijven begrijpen dat het versterken van cyberbeveiliging een continu proces is dat nooit eindigt. Het beschermen van de integriteit van de informatie van onze gebruikers is een topprioriteit voor DJI en we zetten ons in voor verdere samenwerking met beveiligingsonderzoekers zoals Check Point."

"Gezien de populariteit van DJI-drones, is het belangrijk dat mogelijk kritieke kwetsbaarheden als deze snel en effectief worden aangepakt. We zijn blij dat DJI dit ook direct heeft gedaan", zegt Oded Vanunu, Head of Products Vulnerability Research bij Check Point. "Het is belangrijk dat organisaties begrijpen dat gevoelige informatie van alle platforms kan worden misbruikt en, indien blootgesteld op één platform, kan leiden tot aantasting van een wereldwijde infrastructuur."

Er is geen bewijs dat de bug ook daadwerkelijk is misbruikt.