Private Keys veröffentlicht: DJI Entwickler bekommt Haftstrafe

Bereits im Januar ist bekannt geworden, dass wichtige Private Keys von DJI auf dem Online-Software-Repository GitHub in Klartext veröffentlicht worden waren. Der verantwortliche Entwickler wurde nun zu einer Haftstrafe verurteilt.

Die Private Keys waren zur Verschlüsselung der Flight Controller Firmware eingesetzt worden. Dritte, mit Zugriff auf kritische Teile der Drohnen-Firmware von DJI*, wurden durch die in Klartext (das heißt ganz einfach lesbar) veröffentlichten Schüssel in die Lage versetzt, das Verhalten des Flight Controllers zu manipulieren.

Geo-Fencing betroffen

Potenzielle Veränderungsmöglichkeiten ergeben sich durch die Kenntnis über die Private Keys zum Beispiel im Bereich des GeoFencings. Mit dieser Funktion verhindert DJI, dass die Drohnen in sogenannten „No Fly Zones“ überhaupt aufsteigen oder hineinfliegen kann. Durch Entschlüsselung und Manipulation der Firmware wäre eine solche Limitation des Fluggerätes entfernbar.

Bildquelle: jodylehigh | Pixabay License

Auch andere Drosseln und Funktionsbeschneidungen in Sachen Geschwindigkeit ließen sich nach Entschlüsselung einsehen.

Ganz zu schweigen natürlich von der Tatsache, dass dem Unternehmen ein Schaden entstanden wäre, hätten Dritte im Allgemeinen Einblick in den geheimen Quellcode Einblick erhalten.

Auch SSL-Zertifikat der DJI-Website betroffen

Ebenfalls veröffentlicht wurde in diesem Zusammenhang ein Domain-Weites SSL-Zertifikat samt Private Key, welches für die DJI-Webseite *.dji.com gültig war.

Mit diesem Private Key ist es für technisch visierte Personen theoretisch möglich gewesen, sich selbst als DJI-Website auszugeben und zwischen den Kunden und DJI zu klemmen, um Daten zu stehlen (wir denken da z.B. an Zahlungsinformationen für den Online-Store).

Da die Veröffentlichung schnell bemerkt wurde, scheint keines der oben genannten Szenarien eingetroffen zu sein.

Verantwortlicher Entwickler zu Haftstrafe verurteilt

Der für die Veröffentlichung der DJI Private Keys verantwortliche Entwickler wurde im April zu einer Haftstrafe von 6 Monaten verurteilt. Außerdem wurde eine Geldstrafe von knapp 30.000 US-$ verhängt. Das Urteilt beruht auf der Veröffentlichung von Betriebs- und Geschäftsgeheimnissen.

Der Arbeitsvertrag des Verurteilten wurde bereits am 26. Januar 2019 beendet. Der vom Gericht bezifferte Schaden für DJI* beläuft sich auf circa 175.000 US-$.

Wer sich für die Korrespondenz zwischen dem verurteilten Programmierer und dem Entdecker der Keys auf GitHub interessiert, findet diese auf Twitter.

Drone-Zone.de’s Meinung

Laut verschiedener Berichte, wurden die Private Keys im Januar damals nicht mit böser Absicht veröffentlicht. Stattdessen erstellte der Entwickler offensichtlich eine öffentliche Fork von vier verschiedenen Private Cloud Repositories mit den Namen ’spray-system‘, ‚Management-platform‘, ‚real_time_serve_v1‘ und ‚real_time_serve‘. Diese enthielten auch die Private Keys im Quelltext.

Das die verantwortliche Personen nun strafrechtlich verurteilt wurde, stellt die Brisanz des Themas dar. Es ergibt sich für uns jedoch eine Frage: Warum ist ein Entwickler in erster Instanz überhaupt in der Lage, Verschlüsselungs-Keys einzusehen (oder Reposiories, die diese enthalten), die für die Produktion von Produkten verwendet werden?

Je nach Infrastruktur gibt es außerdem effektive Wege, kritische Private Keys vor fremden Zugriffen zu schützen. Das die Schlüsse in einem Cloud Repository (egal ob public oder private) in Klartext hinterlegt waren, sollte kritisch hinterfragt werden.

DJI* dürfte in diesem Fall mit einem Schreck davon gekommen sein. Die Vorfälle zeigen, dass Cyber Security im Drohnen-Bereich in den nächsten Jahren noch deutlich mehr Aufmerksamkeit zukommen wird. Denn mit höherer Verbreitung der Geräte werden Drohnen (vor allem die Produkte eines Marktführers) immer mehr zu einem lohnenden Ziel für Cyber Attacken.

Quelle: The Register

Bleibt in Kontakt!

Wenn ihr über die neuesten Drohnennachrichten, Leaks, Gerüchte, Guides und Testberichte auf dem Laufenden bleiben möchtet, dann folgt uns gerne auf Twitter, YouTube, Facebook oder Instagram.

Auf der Suche nach eurer nächsten Drohne von DJI*, Parrot*, Yuneec* oder einem anderen Modellen*? Wenn ihr unsere Partnerlinks (*) beim Drohnen-Shoppen verwendet, erhalten wir eine kleine Provision, für euch ändert sich aber nichts am Preis. Vielen Dank, dass ihr dabei helft Drone-Zone.de wachsen zu lassen!

Außerdem freuen wir uns natürlich über eure Nachrichten oder Fragen in den Kommentaren!

Hinweis: Mit Sternchen (*) markierte Links sind Affiliate-Links / Partnerlinks. Mit einem Kauf über diesen Link erhalten wir als Seitenbetreiber eine Verkaufsprovision. So kannst du Drone-Zone.de ganz einfach unterstützen. Mehr Informationen dazu findest du hier.

Bildquellen

Nils Waldmann

Hi, ich bin Nils! Ich bin leidenschaftlicher Modellbauer, Hobby-Fotograf, Akku-Liebhaber und RC-Pilot. Ich berichte hier über die neusten Entwicklungen in der Drohnen-Branche und kümmere mich um detaillierte Anleitungen, Guides und Testberichte.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.