Clicky

Investigadores revelan una nueva falla de seguridad que afecta a los drones DJI de China

Dron DJI

Los servidores chinos de DJI o Weibo tienen un control casi total sobre el teléfono del usuario

Investigadores de ciberseguridad revelaron el jueves problemas de seguridad en la aplicación de Android desarrollada por el fabricante chino de drones Da Jiang Innovations (DJI) que viene con un mecanismo de actualización automática que evita Google Play Store y podría usarse para instalar aplicaciones maliciosas y transmitir información personal confidencial a los servidores de DJI.

Los informes gemelos, cortesía de las firmas de ciberseguridad Synacktiv y GRIMM, descubrieron que la aplicación Go 4 de DJI para Android no solo solicita permisos extensos y recopila datos personales (IMSI, IMEI, el número de serie de la tarjeta SIM), sino que también tiene anti-depuración y técnicas de encriptación para frustrar el análisis de seguridad.

"Este mecanismo es muy similar a los servidores de comando y control encontrados con malware", dijo Synacktiv.

"Dados los amplios permisos requeridos por DJI GO 4 (contactos, micrófono, cámara, ubicación, almacenamiento, cambio de conectividad de red), los servidores chinos DJI o Weibo tienen un control casi total sobre el teléfono del usuario".

La aplicación de Android tiene más de un millón de instalaciones a través de Google Play Store. Pero las vulnerabilidades de seguridad identificadas en la aplicación no se aplican a su versión de iOS, que no está ofuscada, ni tiene la función de actualización oculta.

Un "sombrío" mecanismo de autoactualización

GRIMM dijo que la investigación se realizó en respuesta a una auditoría de seguridad solicitada por un proveedor de tecnología de defensa y seguridad pública no identificado que buscaba "investigar las implicaciones de privacidad de los drones DJI dentro de la aplicación Android DJI GO 4".

En ingeniería inversa de la aplicación, Synacktiv dijo que descubrió la existencia de una URL ("hxxps: //service-adhoc.dji.com/app/upgrade/public/check") que utiliza para descargar una actualización de la aplicación y solicitar al usuario que concede permiso para "Instalar aplicaciones desconocidas".

"Modificamos esta solicitud para activar una actualización forzada de una aplicación arbitraria, lo que llevó al usuario primero a permitir la instalación de aplicaciones no confiables, y luego lo bloqueó de usar la aplicación hasta que se instaló la actualización", dijeron los investigadores.

DJI instala una aplicación desconocida

No solo es una violación directa de las pautas de Google Play Store, sino que las implicaciones de esta función también son enormes. Un atacante podría comprometer el servidor de actualización para apuntar a los usuarios con actualizaciones de aplicaciones maliciosas.

Aún más preocupante, la aplicación continúa ejecutándose en segundo plano incluso después de que se cierra y aprovecha un SDK de Weibo ("com.sina.weibo.sdk") para instalar una aplicación descargada arbitrariamente, activando la función para los usuarios que han optado por la transmisión en vivo el vídeo del drone a través de Weibo. GRIMM dijo que no encontró ninguna evidencia de que fue explotado para apuntar a personas con instalaciones de aplicaciones maliciosas.

Además de esto, los investigadores descubrieron que la aplicación aprovecha MobTech SDK para pasar metadatos sobre el teléfono, incluido el tamaño de la pantalla, el brillo, la dirección WLAN, la dirección MAC, los BSSID, las direcciones Bluetooth, los números IMEI e IMSI, el nombre del operador, el número de serie SIM, Información de la tarjeta SD, idioma del sistema operativo y versión del kernel, e información de ubicación.

DJI quita importancia a los hallazgos

Al llamar a los hallazgos "preocupaciones típicas de software", DJI cuestionó la investigación, afirmando que contradice "informes [PDF] del Departamento de Seguridad Nacional de EE. UU. (DHS), Booz Allen Hamilton y otros que no han encontrado evidencia de conexiones inesperadas de transmisión de datos de las aplicaciones de DJI diseñadas para clientes gubernamentales y profesionales".

"No hay evidencia de que alguna vez fueron explotados, y no se usaron en los sistemas de control de vuelo de DJI para clientes gubernamentales y profesionales", dijo la compañía, y agregó que no fue capaz de replicar el comportamiento del reinicio de la aplicación por sí solo.

"En futuras versiones, los usuarios también podrán descargar la versión oficial de Google Play si está disponible en su país. Si los usuarios no dan su consentimiento para hacerlo, su versión no autorizada (pirateada) de la aplicación se desactivará por razones de seguridad".

DJI es el mayor fabricante mundial de drones comerciales y se ha enfrentado a un mayor escrutinio junto con otras empresas chinas por preocupaciones de seguridad nacional, lo que llevó al Departamento del Interior de los EE. UU. a aterrizar su flota de drones DJI a principios de enero.

En mayo pasado, el DHS advirtió a las compañías que sus datos pueden estar en riesgo si usan drones comerciales fabricados en China y que "contienen componentes que pueden comprometer sus datos y compartir su información en un servidor al que se accede más allá de la compañía".

"Esta decisión deja en claro que las preocupaciones del gobierno de EE. UU. sobre los drones DJI, que constituyen una pequeña parte de la flota del DOI, tienen poco que ver con la seguridad y, en cambio, son parte de una agenda políticamente motivada para reducir la competencia en el mercado y apoyar el dron producido con tecnología del país, independientemente de sus méritos ", dijo la compañía en un comunicado en enero.

Jesus_Caceres