Vulnerabilidades en el fabricante de drones DJI

Los errores de seguridad podrían exponer detalles sobre los propietarios de drones

Los investigadores de una firma de ciberseguridad y forense digital identificaron una vulnerabilidad en el sitio web y en las aplicaciones del popular fabricante de drones DJI. La vulnerabilidad fue revelada el jueves pasado, después de que la empresa lograra parchear el error de seguridad. Sin embargo, el tiempo que le tomó a la empresa abordar completamente la falla fue de aproximadamente seis meses.

Acorde a reportes de especialistas en forense digital del Instituto Internacional de Seguridad Cibernética, de ser explotada la vulnerabilidad, un atacante podría haber obtenido acceso libre al almacenamiento de datos en la nube de la cuenta de cualquier propietario de drones, incluyendo videos, mapas, registros de dispositivos e incluso la transmisión en vivo a través del sistema de gestión de flotas DJI FlightHub. Todo esto podría haber ocurrido sin alertar al usuario legítimo. Sin embargo, ahora que DJI ha corregido la falla, se han revelado detalles de la peligrosa vulnerabilidad en la aplicación web Drone de DJI.

Además, los atacantes podrían haber sincronizado fácilmente los datos confidenciales del usuario, incluidos los registros de vuelo y ubicación. Expertos en forense digital y ciberseguridad identificaron la falla en marzo de 2018 y notificaron a DJI al respecto sin revelar públicamente el problema, según la norma seguida por todas las firmas de seguridad. El fabricante chino corrigió esta falla en septiembre.

Un atacante también podría haber lanzado un ataque de secuestro de cuenta mediante la explotación de las tres vulnerabilidades identificadas en la infraestructura de DJI. Esto incluye un error de cookie segura, un problema de identificación de SSL en la aplicación móvil de la empresa, y una falla de secuencias de comandos entre sitios en el foro en línea de la compañía.

El error de cookie podría permitir a un hacker robar las cookies de inicio de sesión insertando un JavaScript malicioso en el foro de DJI a través de una vulnerabilidad XSS. Después de capturar las cookies de inicio de sesión, que podrían haber incluido tokens de autenticación, se pueden usar nuevamente para obtener acceso y control total de la cuenta de un usuario. Además, un atacante podría acceder fácilmente a las aplicaciones móviles DJI GO/4/pilot y a las operaciones de drones centralizados de DJI Flighthub.

Los atacantes podrían haber comprometido las aplicaciones móviles solo después de interceptar el tráfico de aplicaciones. Esto habría sido necesario para omitir la implementación de la fijación de SSL a través de un ataque Man-in-the-Middle lanzado contra el servidor de DJI.

Investigaciones posteriores revelaron que al analizar los archivos de registros de vuelo del dron, un atacante podría haber obtenido más información sobre el ángulo y la ubicación de la fotografía tomada durante el vuelo de uno de estos dispositivos, incluida la ubicación de la casa del usuario, la última ubicación conocida y más detalles.

La vulnerabilidad finalmente fue clasificada por DJI como una falla de alto riesgo, pero de baja probabilidad de ser explotada, ya que para explotarla con éxito, se requería que un usuario inicie sesión en la cuenta de DJI después de hacer clic en un enlace malicioso especialmente diseñado publicado en el foro de DJI. La empresa afirma que no hay indicios de que la falla haya sido explotada en un escenario real.