Un par de equipos de expertos en ingeniería inversa de software ha revelado la existencia de múltiples problemas en la aplicación de Android para controlar drones desarrollada por el fabricante chino Da Jiang Innovations (DJI). Al parecer, la explotación de estas fallas puede emplearse para esquivar los controles de Google Play Store e instalar contenido malicioso, además de extraer información confidencial para enviarla a los servidores de la compañía.
Los informes, presentados por las firmas Synacktiv y GRIMM, mencionan que la app Go 4 solicita permisos demasiado invasivos y recopila datos personales como IMSI, IMEI y número de tarjeta SIM. Además, la app contiene código contra la depuración y el cifrado, lo que impide un adecuado análisis de seguridad, de modo similar a los servidores C&C en ataques de malware.
“Gracias a los elevados permisos que solicita su app, la compañía tiene control casi completo de los dispositivos afectados”, mencionan los expertos en ingeniería inversa de software. Cabe mencionar que estas características inseguras no están presentes en la versión de esta app para sistemas iOS.
Por otra parte, el segundo reporte menciona que, después de aplicar ingeniería inversa a la app, se descubrió la existencia de una URL (hxxps: //service-adhoc.dji.com/app/upgrade/public/check) empleada para descargar una actualización que permite instalar aplicaciones no autorizadas.
En la actualización, los expertos modificaron esta solicitud para activar una actualización forzada de una aplicación arbitraria, lo que permite la instalación de aplicaciones no confiables, para posteriormente bloquear el uso de la aplicación hasta que la actualización sea instalada.
Esto no solo es un incumplimiento de las políticas de Google Play Store, sino que además implica severos problemas de seguridad, pues los actores de amenazas podrían comprometer los servicios de actualización para instalar malware en los dispositivos afectados.
Además de esto, los expertos en ingeniería inversa de software descubrieron que la aplicación aprovecha MobTech SDK para pasar metadatos sobre el teléfono, incluido el tamaño de la pantalla, el brillo, la dirección WLAN, la dirección MAC, los BSSID, las direcciones Bluetooth, entre otros.
DJI es el mayor fabricante mundial de drones comerciales y se ha enfrentado a un estricto escrutinio del Departamento del Interior de E.U., en conjunto con otras compañías tecnológicas chinas. Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática, se recomienda ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad