Check Point研究人員開發了一種可用于挾持DJI（大疆創新）無人機用戶賬戶的攻擊，賬戶中包含用戶的敏感信息以及對設備本身的訪問權。

據報道，Check Point研究人員開發了一種XSS攻擊，該攻擊可發布在成百上千名DJI客戶使用的DJI論壇上，以攔截識別令牌，并借此以客戶身份進行登陸。

該攻擊證明了無人機云網絡中存在漏洞且訪問該漏洞不受地點限制，強調了雙因素身份驗證機制與優化身份（認證）機制的必要性，以及在IT網絡中組織細分的重要性，以便控制以及限制由潛在攻擊造成的損害。

攻擊者進入網頁論壇，竊取cookie ID并完成登陸，之后利用失竊信息或繞過SeNeo Mobile保護以訪問DJI移動端應用程序，或訪問DJI Flight Hub上的全部信息。

一旦完成以上操作，攻擊者便可訪問無人機飛行記錄、飛行時所拍照片、支付詳情、實時訪問無人機攝像頭、無人機飛行員攝像機及其位置。由于DJI客戶識別過程存在漏洞，研究人員可挾持用戶的賬戶并完全控制任一云平臺及其中儲存的數據。

無人機本身也被用于發起攻擊。

DJI無人機應用于多個行業，包括關鍵基礎設施、制造業、農業、建筑業、應急管理部、政府部門、軍隊及其他部門，這表示攻擊者有機會借之竊取關鍵信息。

研究人員指出，無人機可通過飛行路徑、照片、航拍錄像與地圖的形式提供有價值的偵察信息。那些針對關鍵基礎設施的攻擊者可通過發電站、水壩及其他設施竊取復雜的詳情及圖片信息。

針對快遞與物流公司的攻擊者可獲取路線信息，并獲知所運輸的包裹為何物、在何處以及運往何人，以便對包裹進行攔截。

2018年3月，DJI發現了該漏洞，目前該漏洞得以修復。