Gefägnis Zaun Stacheldraht Hindernis

Private Keys veröffentlicht: DJI Entwickler bekommt Haftstrafe

Publiziert von Nils Waldmann

am

Bereits im Januar ist bekannt geworden, dass wichtige Private Keys von DJI auf dem Online-Software-Repository GitHub in Klartext veröffentlicht worden waren. Der verantwortliche Entwickler wurde nun zu einer Haftstrafe verurteilt.

Die Private Keys waren zur Verschlüsselung der Flight Controller Firmware eingesetzt worden. Dritte, mit Zugriff auf kritische Teile der Drohnen-Firmware von DJI*, wurden durch die in Klartext (das heißt ganz einfach lesbar) veröffentlichten Schüssel in die Lage versetzt, das Verhalten des Flight Controllers zu manipulieren.

Geo-Fencing betroffen

Potenzielle Veränderungsmöglichkeiten ergeben sich durch die Kenntnis über die Private Keys zum Beispiel im Bereich des GeoFencings. Mit dieser Funktion verhindert DJI, dass die Drohnen in sogenannten „No Fly Zones“ überhaupt aufsteigen oder hineinfliegen kann. Durch Entschlüsselung und Manipulation der Firmware wäre eine solche Limitation des Fluggerätes entfernbar.

Gefägnis Zaun Stacheldraht Hindernis

Auch andere Drosseln und Funktionsbeschneidungen in Sachen Geschwindigkeit ließen sich nach Entschlüsselung einsehen.

Ganz zu schweigen natürlich von der Tatsache, dass dem Unternehmen ein Schaden entstanden wäre, hätten Dritte im Allgemeinen Einblick in den geheimen Quellcode Einblick erhalten.

Auch SSL-Zertifikat der DJI-Website betroffen

Ebenfalls veröffentlicht wurde in diesem Zusammenhang ein Domain-Weites SSL-Zertifikat samt Private Key, welches für die DJI-Webseite *.dji.com gültig war.

Mit diesem Private Key ist es für technisch visierte Personen theoretisch möglich gewesen, sich selbst als DJI-Website auszugeben und zwischen den Kunden und DJI zu klemmen, um Daten zu stehlen (wir denken da z.B. an Zahlungsinformationen für den Online-Store).

Da die Veröffentlichung schnell bemerkt wurde, scheint keines der oben genannten Szenarien eingetroffen zu sein.

Verantwortlicher Entwickler zu Haftstrafe verurteilt

Der für die Veröffentlichung der DJI Private Keys verantwortliche Entwickler wurde im April zu einer Haftstrafe von 6 Monaten verurteilt. Außerdem wurde eine Geldstrafe von knapp 30.000 US-$ verhängt. Das Urteilt beruht auf der Veröffentlichung von Betriebs- und Geschäftsgeheimnissen.

Der Arbeitsvertrag des Verurteilten wurde bereits am 26. Januar 2019 beendet. Der vom Gericht bezifferte Schaden für DJI* beläuft sich auf circa 175.000 US-$.

Wer sich für die Korrespondenz zwischen dem verurteilten Programmierer und dem Entdecker der Keys auf GitHub interessiert, findet diese auf Twitter.

Drone-Zone.de’s Meinung

Laut verschiedener Berichte, wurden die Private Keys im Januar damals nicht mit böser Absicht veröffentlicht. Stattdessen erstellte der Entwickler offensichtlich eine öffentliche Fork von vier verschiedenen Private Cloud Repositories mit den Namen ’spray-system‘, ‚Management-platform‘, ‚real_time_serve_v1‘ und ‚real_time_serve‘. Diese enthielten auch die Private Keys im Quelltext.

Das die verantwortliche Personen nun strafrechtlich verurteilt wurde, stellt die Brisanz des Themas dar. Es ergibt sich für uns jedoch eine Frage: Warum ist ein Entwickler in erster Instanz überhaupt in der Lage, Verschlüsselungs-Keys einzusehen (oder Reposiories, die diese enthalten), die für die Produktion von Produkten verwendet werden?

Je nach Infrastruktur gibt es außerdem effektive Wege, kritische Private Keys vor fremden Zugriffen zu schützen. Das die Schlüsse in einem Cloud Repository (egal ob public oder private) in Klartext hinterlegt waren, sollte kritisch hinterfragt werden.

DJI* dürfte in diesem Fall mit einem Schreck davon gekommen sein. Die Vorfälle zeigen, dass Cyber Security im Drohnen-Bereich in den nächsten Jahren noch deutlich mehr Aufmerksamkeit zukommen wird. Denn mit höherer Verbreitung der Geräte werden Drohnen (vor allem die Produkte eines Marktführers) immer mehr zu einem lohnenden Ziel für Cyber Attacken.

Quelle: The Register

Bleibt in Kontakt!

Wenn ihr über die neuesten Drohnen-News, Drohnen-Leaks, Drohnen-Gerüchte, Drohnen-Guides und Drohnen-Testberichte auf dem Laufenden bleiben möchtet, dann folgt uns gerne auf unseren Social-Media-Kanälen!

Außerdem freuen wir uns natürlich über eure Nachrichten oder Fragen in den Kommentaren!


Hinweis: Mit Sternchen (*) markierte Links sind Affiliate-Links / Partnerlinks. Mit einem Kauf über diesen Link erhalten wir als Seitenbetreiber eine Verkaufsprovision. So kannst du Drone-Zone.de ganz einfach unterstützen. Bitte beachtet, dass es sich bei Drone-Zone um eine reine Website zur Information und keinen Online-Shop handelt. Ihr könnt über unsere Seite keine Kaufverträge über die dargestellten Artikel abschließen und auch keine persönliche Beratung hierzu in Anspruch nehmen. Mehr Informationen dazu findest du hier.

Avatar-Foto

Nils Waldmann

Hi, ich bin Nils! Ich bin leidenschaftlicher Modellbauer, Hobby-Fotograf, Akku-Liebhaber und RC-Pilot. Ich berichte hier über die neusten Entwicklungen in der Drohnen-Branche und kümmere mich um detaillierte Anleitungen, Guides und Testberichte.

Schon gesehen?

DJI Mini 3 im Flug vor Wald

DJI Mini 3 & DJI Mini 2 im Vergleich: Sofort Upgraden?

Mit der Vorstellung der neuen DJI Mini 3 stellt sich für viele Besitzer der DJI Mini 2 jetzt endgültig die Frage: Lohnt sich ein Upgrade auf das neue Modell? Wir ... jetzt lesen!

P4P V2.0 Drohne von unten im Flug

DJI kündigt Service-Ende für mehrere Produkte an

Der Kamera- und Drohnenhersteller DJI hat neue Deadlines für das Auslaufen des Service einiger Produkte bekanntgegeben. Die meisten der gelistete Produkte werden schon einige Zeit lang nicht mehr hergestellt und ... jetzt lesen!

DJI Air 3 microSD-Speicherkarte Teaser

DJI Air 3: Die besten Speicherkarten (microSD, UHS-I)

Die DJI Air 3 ist mit ihrer neuen Dual-Kamera in der Lage, hochwertige Video- und Fotoaufnahmen zu erstellen. Videos zeichnet die Drohne mit 4K-Auflösung bei bis zu 100 fps auf. ... jetzt lesen!

DJI Logo an Hausfassade

Hacker offenbaren angeblichen DJI-Datendiebstahl als Scam

Ende der vergangenen Woche machte eine Meldung die Runde durch bestimmte Ecken des Internets: Eine Hackergruppe hatte bekannt gegeben, unter anderem Nutzerdaten des Drohnenherstellers DJIs gestohlen zu haben, um diese ... jetzt lesen!

Schreibe einen Kommentar